www.belgium.be Logo of the federal government

De NIS2-wet

Verplichtingen

De NIS2-wet legt een aantal verplichtingen op aan essentiële en belangrijke entiteiten. Deze omvatten risicobeheersmaatregelen op het gebied van cyberbeveiliging, melding van significante incidenten, registratie en samenwerking met de autoriteiten. 

1. Risicobeheersmaatregelen

Essentiële en belangrijke entiteiten nemen passende en maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken. 

Deze maatregelen zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen.

Ze omvatten ten minste de volgende 11 maatregelen:

1) beleid inzake risicoanalyse en beveiliging van informatiesystemen

(2) incidentenbehandeling

(3) bedrijfscontinuïteit en crisisbeheer

(4) de beveiliging van de toeleveringsketen

(5) beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden

(6) beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen

(7) cyberhygiëne en opleiding op het gebied van cyberbeveiliging

(8) beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie

(9) beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa

(10) wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit

 

(11) een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden

Het Centrum voor Cybersecurity België heeft een kader uitgewerkt, genoemd de “CyberFundamentals” (CyFun®), dat elk van deze punten omvat en gebruikt kunnen worden voor conformiteitsbeoordeling. Voor meer informatie kunt u op de CyFun pagina van Safeonweb@work gaan.

2. Melding van incidenten

De wet bepaalt dat essentiële en belangrijke entiteiten elk significant incident moeten melden aan de bevoegde autoriteiten, met inbegrip van, indien van toepassing, informatie aan de hand waarvan kan worden vastgesteld of het incident in kwestie een grensoverschrijdend effect heeft. 

Met significant incident wordt elk incident bedoeld dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:

  1. een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
  2. andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Deze kennisgeving wordt gedaan aan het nationale CSIRT (het CCB). In voorkomend geval brengen de betrokken entiteiten de ontvangers van hun diensten op de hoogte van alle significante incidenten die een negatieve invloed kunnen hebben op de levering van de voornoemde diensten. De entiteiten informeren ook de afnemers van hun diensten die mogelijk getroffen worden door een significante cyberdreiging over alle maatregelen en correcties die kunnen worden genomen om hierop te reageren, en zelfs over de cyberdreiging zelf.

De melding van significante incidenten verloopt in volgende stappen: 

  1. onverwijld en uiterlijk binnen 24 uur nadat zij kennis heeft gekregen van het significante incident, geeft de entiteit een vroegtijdige waarschuwing door;
  2. onverwijld en uiterlijk binnen 72 uur (24 uur voor verleners van vertrouwensdiensten) nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentmelding;
  3. op verzoek van het nationale CSIRT of, indien van toepassing, van de betrokken sectorale overheid, bezorgt de entiteit een tussentijds verslag;
  4. uiterlijk één maand na de in punt 2 bedoelde incidentmelding, bezorgt de entiteit een eindverslag;
  5. Indien het eindverslag niet kan worden ingediend omdat het incident nog aan de gang is, bezorgt de entiteit een voortgangsverslag en, binnen één maand nadat zij het incident definitief heeft afgehandeld, het eindverslag.

Praktisch gesproken zal de melding gebeuren via de procedure toegelicht op de CCB website.

3. De registratie van entiteiten

NIS2-entiteiten die in België gereguleerd zijn, moeten zich registreren bij het CCB. In de praktijk moeten entiteiten een registratieformulier invullen op het portaal van Safeonweb@Work. 

Het type entiteit is bepalend voor de uiterste registratiedatum. In principe moeten essentiële en belangrijke entiteiten, evenals domeinnaamregistratiedienstverleners, zich registreren binnen 5 maanden na de inwerkingtreding van de wet. Aangezien de inwerkingtreding is gepland voor 18 oktober 2024, moet de registratie uiterlijk op 18 maart 2025 zijn voltooid. 

Bij registratie moeten entiteiten de volgende informatie verstrekken:

  1. hun naam, registratienummer bij de Kruispuntbank van Ondernemingen (KBO) of een gelijkwaardige registratie in de Europese Unie;
  2. hun huidig adres en contactgegevens, waaronder e-mailadres, IP-bereiken en telefoonnummer;
  3. indien van toepassing, de relevante sector en deelsector waarnaar wordt verwezen in bijlage I of II van de wet; en
  4. indien van toepassing, een lijst van de lidstaten waar zij diensten verlenen die binnen het toepassingsgebied van de wet vallen.

Er is een uitzondering voor entiteiten die deze informatie al hebben doorgegeven aan een NIS2-sectorautoriteit. In dit geval hoeft de informatie alleen te worden bijgewerkt indien nodig. Als de informatie verandert, moeten alle entiteiten het CCB daarvan onmiddellijk op de hoogte stellen.

Voor de volgende soorten entiteiten bestaat een licht aangepaste regeling:

  • DNS-dienstverleners;
  • registers voor topleveldomeinnamen; 
  • entiteiten die domeinnaamregistratiediensten verlenen;
  • aanbieders van cloudcomputingdiensten;
  • aanbieders van datacentra;
  • aanbieders van netwerken voor de levering van inhoud; 
  • aanbieders van beheerde diensten;
  • aanbieders van beheerde beveiligingsdiensten;
  • aanbieders van onlinemarktplaatsen;
  • aanbieders van onlinezoekmachines; en
  • aanbieders van platforms voor sociale netwerkdiensten.

Zij moeten zich binnen 2 maanden na de inwerkingtreding van de wet registreren (d.w.z. uiterlijk op 18 december 2024) en hierbij volgende informatie verstrekken:

  1. hun naam;
  2. hun relevante sector, deelsector en soort entiteit bedoeld in bijlage I of II, waar van toepassing;
  3. het adres van hun hoofdvestiging en hun andere wettelijke vestigingen in de Unie of, indien deze niet in de Unie zijn gevestigd, van hun vertegenwoordiger;
  4. hun actuele contactgegevens, met inbegrip van e-mailadressen en telefoonnummers en, indien van toepassing, deze van hun vertegenwoordiger;
  5. de lidstaten waar ze hun diensten verlenen die tot het toepassingsgebied van deze wet behoren; en
  6. hun IP-bereiken.

Elke entiteit, al dan niet onder de uitzondering vallend, is verplicht om het CCB onmiddellijk op de hoogte te brengen van wijzigingen in deze informatie.

In de praktijk zal een deel van deze informatie rechtstreeks van de Kruispuntbank van Ondernemingen (KBO) worden overgenomen tijdens het registratieproces.

4. Verplichtingen en aansprakelijkheid van management

De bestuursorganen van NIS2-entiteiten moeten maatregelen voor risicobeheer op het gebied van cyberbeveiliging goedkeuren en toezien op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het beheersorgaan aansprakelijk. 

De leden van de bestuursorganen zijn verplicht een opleiding te volgen om ervoor te zorgen dat hun kennis en vaardigheden voldoende zijn om risico's te identificeren en praktijken voor risicobeheer op het gebied van cyberbeveiliging en de impact daarvan op de diensten die door de betreffende entiteit worden verleend, te beoordelen. 

De verantwoordelijke personen en/of wettelijke vertegenwoordigers van een entiteit moeten de bevoegdheid hebben om ervoor te zorgen dat de entiteit de wet naleeft. Zij zijn aansprakelijk als zij dit nalaten. 

De aansprakelijkheid van bestuursorganen, verantwoordelijke personen en wettelijke vertegenwoordigers doet geen afbreuk aan de regels inzake aansprakelijkheid die van toepassing zijn op overheidsinstellingen, noch aan de aansprakelijkheid van ambtenaren en verkozen of benoemde overheidsfunctionarissen.

5. De samenwerking met de bevoegde autoriteiten

De NIS2-wet bepaalt dat entiteiten die in haar toepassingsgebied vallen, moeten samenwerken met de nationale autoriteiten die instaan voor de tenuitvoerlegging ervan, waaronder met name het CCB en de sectorale autoriteiten. 

Deze samenwerking heeft over het algemeen de vorm van informatie-uitwisseling over de beveiliging van netwerken en informatiesystemen, maar omvat ook samenwerking tussen de entiteit en de inspectiedienst van het CCB.