Cyberveiligheid – De NIS-richtlijn: nieuwe verplichtingen voor ondernemingen

Op 12 november 2018 werd het langverwachte wetsontwerp tot omzetting van de Netwerk- en Informatiebeveiligingsrichtlijn, of kortweg NIS-richtlijn, ingediend bij het parlement. Het wetsontwerp brengt nieuwe verplichtingen met betrekking tot cyberveiligheid met zich mee voor bepaalde ondernemingen.

Geschreven door Anneleen Dammekens, COMPETENTIECENTRUM RECHT & ONDERNEMING
28 november 2018

Het wetsontwerp tot omzetting van de NIS-richtijn heeft tot doel om een hoog beveiligingsniveau van netwerk- en informatiesystemen na te streven in België om zo bij te dragen aan het hoog gemeenschappelijk beveiligingsniveau in de EU. Daartoe worden aan twee categorieën van ondernemingen verplichtingen opgelegd, met name aan de operatoren van essentiële diensten (energie, vervoer, financiën, gezondheidszorg, drinkwater en digitale infrastructuren) en aan digitaledienstverleners (onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten).

Aan deze ondernemingen worden hoofdzakelijk de volgende verplichtingen opgelegd:

  • Het opmaken van een beschrijving van de netwerk- en informatiesystemen waarvan de onderneming afhangt en het uitwerken van een beveiligingsbeleid voor haar netwerk- en informatiesystemen (“IBB”). Er wordt verwezen naar het ‘ISO 27001’ raamwerk, maar certificering wordt niet opgelegd;
  • Het nemen van passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van haar netwerk- en informatiesystemen te beheersen en om, in geval van een incident, de gevolgen daarvan te minimaliseren;
  • Het aanwijzen van een contactpunt voor de beveiliging van haar netwerk- en informatiesystemen, dat te allen tijde beschikbaar is [1];
  • Het melden van incidenten met aanzienlijke gevolgen op de dienstverlening van de onderneming;
  • Het organiseren van een jaarlijkse interne audit van de beveiliging van haar netwerk- en informatiesystemen en van een driejaarlijkse externe audit (op kosten van de onderneming).
  • De (nog officieel aan te wijzen) sectorale autoriteiten kunnen nog bijkomende sectorale verplichtingen opleggen.

De bevoegdheid om te bepalen welke ondernemingen als operatoren van essentiële diensten zullen worden aangemerkt en welk deel van hun activiteit als essentiële dienst zal worden beschouwd, wordt bij de (bij koninklijk besluit aan te wijzen) sectorale overheden gelegd. Deze ondernemingen zullen gecontacteerd worden door hun sectorale overheid – sommige werden al gecontacteerd – en moeten dus niet zelf het initiatief nemen. Voor digitale dienstverleners ligt het anders, zij moeten wel zelf het initiatief nemen om na te gaan of ze onder de voorwaarden van de NIS-wetgeving vallen. Digitaledienstverleners die een kleine of micro-onderneming zijn, zijn weliswaar niet verplicht om de regels van de NIS-wetgeving te volgen.

Alle andere ondernemingen ontsnappen aan de nieuwe NIS-verplichtingen. Maar men kan zich afvragen of de bedrijven die leveren aan of klant zijn van een operator van een essentiële dienst of van een digitaledienstverlener, in de praktijk niet toch, zij het op een indirecte manier, met de beveiligingsverplichtingen rekening zullen moeten houden.

VBO – De omzetting van de NIS-richtlijn was oorspronkelijk gepland voor 9 mei 2018. De ondernemingen die de regels uit de richtlijn zullen moeten toepassen wachten dus al een hele tijd op concrete informatie over de manier waarop België deze Europese wettekst nationaal zal invullen. Tot op vandaag blijven er een aantal elementen erg vaag. Zo is het bijvoorbeeld nog niet voor elke sector duidelijk welke instantie zal optreden als sectorale autoriteit. Het VBO dringt er dan ook op aan om snel duidelijkheid te creëren en om realistische overgangstermijnen te voorzien voor de inwerkingtreding van de Belgische wet, zodat de bedrijven over voldoende tijd beschikken om zich in regel te stellen.

[1] Die beschikbaarheidsvereiste geldt alleen voor operatoren van essentiële diensten, niet voor digitaledienstverleners


Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.

VBO-NIEUWSBRIEF IMPACT

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.