De NIS2-wet
Toezicht en sancties
Wanneer we het hebben over toezicht in de context van de NIS2-wet, moeten we twee categorieën entiteiten onderscheiden: essentiële entiteiten en belangrijke entiteiten.
Essentiële entiteiten moeten een periodieke conformiteitsbeoordeling ondergaan. Een essentiële entiteit heeft hiervoor drie opties:
- ofwel een CyberFundamentals (CyFun®)-certificering, toegekend door een door het CCB erkende conformiteitsbeoordelingsinstantie (na accreditatie door BELAC);
- ofwel een ISO/IEC 27001-certificatie, toegekend door een geaccrediteerde conformiteitsbeoordelingsinstantie (CAB). Deze accreditatie kan afgeleverd worden door een accreditatieinstelling die de MLA ondertekend heeft waar ISO27001 onder valt in het kader van de European co-operation for Accreditation (EA) of IAF (International Accreditation Forum).
- ofwel een inspectie door de inspectiedienst van het CCB (of door een sectorale inspectiedienst).
De inspectiedienst kan ook op elk moment essentiële entiteiten inspecteren (in afwezigheid van een incident - ex ante - en na een incident - ex post).
Voor belangrijke entiteiten wordt het toezicht achteraf ("ex post") uitgeoefend op basis van bewijzen, aanwijzingen of informatie waaruit blijkt dat een belangrijke entiteit de wet niet naleeft (art. 48 van de wet NIS2). Deze entiteiten kunnen zich echter ook vrijwillig onderwerpen aan dezelfde regeling als essentiële entiteiten.
Inspecteurs kunnen ter plaatse gaan, notulen opmaken en rapporten opstellen. Op basis van deze bevindingen kan een procedure worden gestart om de entiteit aan te manen een einde te maken aan de overtreding en, indien nodig, passende administratieve maatregelen te nemen, variërend van een waarschuwing tot een administratieve boete.
De lijsten met boetes en administratieve maatregelen zijn te vinden in de artikelen 58, 59 en 60 van de wet.
In principe wordt het toezicht uitgevoerd door de inspectiedienst van de nationale cyberbeveiligingsautoriteit. De sectorale autoriteiten zullen echter de entiteiten in hun sector kunnen inspecteren met betrekking tot de door hen opgelegde aanvullende cyberbeveiligingsmaatregelen. De wet voorziet ook in gezamenlijke inspecties, of zelfs de delegatie van inspecties aan een sectorale autoriteit, om het toezicht te vereenvoudigen en om de overheidsmiddelen te rationaliseren.