Dejan KosuticBelgië heeft de NIS 2-richtlijn van de EU omgezet in zijn lokale wetgeving door de publicatie van zijn NIS 2-wet inzake cyberbeveiliging in april 2024, en het is een van de eerste EU-landen die dit doet.
Deze wet heeft een nogal lange naam: Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (in het Frans), en Wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (in het Nederlands) – dus laten we het de Belgische NIS2-wet noemen.
Hoe verhoudt de Belgische NIS2-wet zich tot de NIS 2-richtlijn en wat zijn de aanvullende eisen?
De Belgische NIS2-wet volgt de NIS 2-richtlijn op het gebied van beheer, cyberbeveiligingsmaatregelen en het melden van incidenten op de voet. De Belgische wet verduidelijkt enkele punten uit NIS 2 over overeenkomstbeoordeling en toezicht.
De basisbeginselen van de Belgische wet op cyberbeveiliging
Zoals voorgeschreven door de NIS 2-richtlijn is het hoofddoel van de Belgische NIS2-wet om de risico’s van cyberbeveiliging voor kritieke infrastructuren (essentiële en belangrijke entiteiten) te verminderen en de veerkracht van hun netwerk- en informatiesysteem te vergroten.
De Belgische NIS2-wet vervangt de bestaande wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid en wijzigt in afdeling 7 (Algemene bepalingen) verschillende aanverwante wetten en verordeningen.
De officiële tekst van de Belgische NIS2-wet vind je hier (in het Frans) en in het Nederlands.
De rest van dit artikel gaat over de eisen op het gebied van cyberbeveiliging waaraan essentiële en belangrijke entiteiten moeten voldoen – dit artikel gaat niet over de rol van overheidsinstanties die de naleving van de Belgische NIS2-wet moeten afdwingen.
De belangrijkste overeenkomsten en verschillen tussen de Belgische NIS2-wet en de NIS 2-richtlijn van de EU worden in de onderstaande tabel samengevat:
| Belgische NIS2-wet vergeleken met EU NIS 2-richtlijn | |
| Welke bedrijven moeten voldoen | Dezelfde criteria als in de NIS 2-richtlijn, maar alleen voor bedrijven die in België zijn geregistreerd. Uitzonderingen zijn aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbare elektronische communicatiediensten – zij moeten voldoen aan de NIS2-wet als ze diensten leveren in België, ongeacht waar ze geregistreerd zijn. |
| Deadlines | De Belgische NIS2-wet wordt van kracht op 18 oktober 2024 (dezelfde datum als de NIS 2-richtlijn). Bedrijven die behoren tot de sectoren van digitale infrastructuur en digitale providers moeten zich voor 18 december 2024 registreren bij de nationale autoriteit voor cyberbeveiliging, terwijl alle andere essentiële en belangrijke organisaties dit voor 18 maart 2025 moeten doen. De overheid zal de deadline vaststellen voor de eerste overeenkomstbeoordeling voor essentiële entiteiten. |
| Verantwoordelijkheden van het senior management | Hetzelfde als de NIS 2-richtlijn (zie Article 20). |
| Belang van opleiding | Hetzelfde als de NIS 2-richtlijn (zie Article 20). |
| Op risico gebaseerde benadering van cyberbeveiliging | Hetzelfde als de NIS 2-richtlijn (zie Article 21). |
| Maatregelen voor cyberbeveiliging | Hetzelfde als de NIS 2-richtlijn (zie Article 21). |
| Beveiliging van de toeleveringsketen | Hetzelfde als de NIS 2-richtlijn (zie Article 21). |
| Verplichtingen voor het melden van incidenten | Hetzelfde als de NIS 2-richtlijn (zie Article 23). |
| Gebruik van gecertificeerde IT-producten en -diensten | Hetzelfde als de NIS 2-richtlijn; de Belgische NIS2-wet bepaalt echter dat de nationale cyberbeveiligingsstrategie het gebruik van IT-producten en -diensten zal specificeren. |
| Toezicht en handhaving | Belangrijke entiteiten moeten een periodieke overeenstemmingsbeoordeling ondergaan, terwijl belangrijke entiteiten op vrijwillige basis een overeenstemmingsbeoordeling kunnen ondergaan. |
| Boetes | Voor essentiële entiteiten, tussen €500 en €10 miljoen of tot 2% van de jaarlijkse omzet (afhankelijk van welk criterium het hoogst is). Voor belangrijke entiteiten, tussen €500 en €7 miljoen of tot 1,4% van de jaarlijkse omzet (afhankelijk van welk criterium hoger is). De boetes worden verdubbeld bij recidive. |
| Volledig nieuwe eisen | Bepaalde soorten digitale dienstverleners die diensten leveren binnen de EU maar buiten de EU gevestigd zijn, moeten een vertegenwoordiger aanstellen in de EU.
Essentiële en belangrijke entiteiten moeten zich op eigen initiatief registreren bij de nationale autoriteit voor cyberbeveiliging. Verwerking van persoonlijke gegevens in overeenstemming met de AVG. |
Welke bedrijven moeten voldoen aan de Belgische NIS2-wet?
Like the NIS 2 Directive, Belgium’s NIS2 Law prescribes that mid-sized and larger companies from the 18 specified sectors are in the scope; on top of this, some smaller organizations from those 18 sectors Net als de NIS 2-richtlijn schrijft de Belgische NIS2-wet voor dat middelgrote en grote bedrijven uit de 18 gespecificeerde sectoren onder het toepassingsgebied vallen; daarnaast moeten sommige kleinere organisaties uit die 18 sectoren ook voldoen aan de Belgische NIS2-wet – lees hier de details (in het Engels): Which companies must comply with NIS 2? Essential vs. important entities.
Het belangrijkste verschil is dat deze bedrijven (die als essentiële en belangrijke entiteiten worden beschouwd) in België moeten zijn geregistreerd om onder het toepassingsgebied van de Belgische NIS2-wetgeving te vallen. De enige uitzonderingen zijn de providers van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten – dergelijke bedrijven moeten voldoen aan de Belgische NIS2-wet, ongeacht waar ze geregistreerd zijn als ze dergelijke diensten in België leveren.
De Belgische NIS2-wet bepaalt ook dat overheidsinstanties moeten voldoen als ze afhankelijk zijn van de federale overheid of als ze afhankelijk zijn van de gefedereerde entiteiten.
Deadlines
Hoewel de Belgische NIS 2-richtlijn op dezelfde dag in werking treedt als de NIS 2-richtlijn (18 oktober 2024), zullen de feitelijke deadlines voor essentiële en belangrijke entiteiten om aan de richtlijn te voldoen na deze datum vallen:
- Bedrijven uit de sectoren van digitale infrastructuur en digitale aanbieders – DNS-dienstverleners, registers van topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten aanbieden, aanbieders van cloudcomputingdiensten, datacenterdienstverleners, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten – moeten binnen 2 maanden na de inwerkingtreding van de wet (d.w.z. tegen 18 december 2024) verslag uitbrengen aan de nationale autoriteit voor cyberbeveiliging.
- Alle resterende essentiële en belangrijke entiteiten moeten zich registreren bij de nationale autoriteit voor cyberbeveiliging binnen 5 maanden na de inwerkingtreding van de wet (d.w.z. tegen 18 maart 2025).
Bovendien bepaalt de wet dat de overheid de termijnen vaststelt waarbinnen essentiële entiteiten hun eerste periodieke overeenstemmingsbeoordelingen moeten uitvoeren – deze termijn is nog niet vastgesteld op het moment dat dit artikel wordt geschreven.
Toezicht en handhaving
De Belgische NIS2 -wet bepaalt dat essentiële entiteiten een periodieke beoordeling van de naleving moeten ondergaan (ook al wordt de frequentie niet gespecificeerd) en dat de volgende beoordelingen kunnen plaatsvinden:
- Overeenstemmingsbeoordeling aan de hand van een referentiekader dat wordt bepaald door de overheid en wordt uitgevoerd door een geaccrediteerde instantie die is goedgekeurd door de nationale autoriteit voor cyberbeveiliging, of
- Inspectie door de nationale autoriteit voor cyberbeveiliging
Belangrijke entiteiten zijn niet verplicht om de naleving te laten beoordelen, maar kunnen dit op vrijwillige basis doen.
Als een essentiële entiteit niet voldoet aan de Belgische NIS2-wet, kan een bevoegde autoriteit “een certificering of autorisatie met betrekking tot alle of een deel van de relevante diensten die worden geleverd of de relevante activiteiten die worden uitgevoerd door de entiteit in kwestie tijdelijk opschorten” en “een persoon die leidinggevende verantwoordelijkheden uitoefent op het niveau van directeur of wettelijk vertegenwoordiger in de entiteit in kwestie tijdelijk verbieden leidinggevende verantwoordelijkheden uit te oefenen in die entiteit”.
Boetes
Er zijn verschillende boetes die worden voorgeschreven door de Belgische NIS2-wet:
- Tussen 500 en 125.000 euro als een entiteit die binnen het toepassingsgebied valt zich niet registreert bij de nationale autoriteit voor cyberbeveiliging.
- Tussen 500 en 200.000 euro als een entiteit “ervoor zorgt dat een persoon die namens haar handelt nadelige consequenties ondervindt als gevolg van haar prestaties”.
- Tussen 500 en 7 miljoen euro, of 1,4% van de totale wereldwijde jaaromzet, voor een belangrijke entiteit die niet voldoet aan cyberbeveiliging risicobeheer en/of de rapportage van incidenten.
- Tussen 500 en 10 miljoen euro, of 2% van de totale wereldwijde jaaromzet, voor een essentiële entiteit die niet voldoet aan cyberbeveiliging risicobeheer en/of de rapportage van incidenten.
De boete wordt verdubbeld als een bedrijf dezelfde overtreding binnen 3 jaar herhaalt.
Nieuwe eisen in de Belgische NIS2-wet
De Belgische NIS 2-richtlijn bevat geen grote nieuwigheden ten opzichte van de NIS 2-richtlijn, maar het volgende moet worden vermeld.
Essentiële en belangrijke entiteiten moeten zich op eigen initiatief registreren bij de nationale autoriteit voor cyberbeveiliging – slechts in enkele zeldzame gevallen zal de nationale autoriteit voor cyberbeveiliging bepaalde organisaties aanwijzen als organisaties die aan de eisen moeten voldoen.
Als een entiteit tot een van deze categorieën behoort – DNS-dienstverleners, registers van topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten aanbieden, aanbieders van cloudcomputingdiensten, aanbieders van datacenterdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten – en ze diensten aanbieden in de Europese Unie, maar niet geregistreerd zijn in de Europese Unie, moeten ze een vertegenwoordiger aanwijzen in de Europese Unie.
Tot slot specificeert de Belgische NIS2-wet expliciet hoe persoonlijke gegevens die worden verwerkt vanwege NIS2 moeten worden behandeld in de context van de AVG.
Requirements that are the same as in the NIS 2 Directive
There is a lot in Belgium’s NIS2 Law that is the same as in NIS 2:
- Verantwoordelijkheden van het senior management — bekijk de details hier (in het Engels): What is NIS 2 Directive? A detailed and straightforward guide
- Het belang van opleiding — leer meer (in het Engels): How to perform training and awareness according to NIS 2
- Op risico gebaseerde aanpak van cyberbeveiliging — meer informatie (in het Engels): The 8 most important cybersecurity and reporting requirements in NIS2
- Cyberbeveiliging als een combinatie van technische, operationele en organisatorische maatregelen — zie ook (in het Engels): List of required documents according to NIS 2
- Beveiliging van de toeleveringsketen
- Meldingsplicht voor incidenten — zie ook (in het Engels): What are reporting obligations according to NIS 2?
- Gebruik van gecertificeerde IT-producten en -diensten
De Belgische NIS2-wet bepaalt echter dat de Belgische overheid regels zal invoeren voor de hierboven vermelde punten – er wordt bijvoorbeeld gespecificeerd dat de nationale cyberbeveiligingsstrategie eisen zal specificeren voor cyberbeveiliging voor het gebruik van IT-producten en -diensten bij overheidsopdrachten, bijvoorbeeld certificering, encryptie, open source, enz.
Belgische NIS2-wet vs. de NIS 2-richtlijn
Over het algemeen volgt de Belgische NIS 2-richtlijn de NIS 2-richtlijn op de voet, met name wat betreft beheer, meting van cyberbeveiliging en melding van incidenten.
De Belgische wet verduidelijkt een aantal punten uit de NIS 2 over conformiteitsbeoordeling en toezicht en laat essentiële entiteiten kiezen hoe ze de prestatie van de conformiteitsbeoordeling uitvoeren.
Het valt natuurlijk nog af te wachten welke beslissingen de Belgische regering zal nemen met betrekking tot de termijnen voor de overeenstemmingsbeoordelingen, de referentiekaders voor de overeenstemmingsbeoordeling en de maatregelen voor cyberbeveiliging. Dergelijke beslissingen zullen een grote invloed hebben op de naleving.
Om alle documenten te vinden die nodig zijn om te voldoen aan de NIS 2-richtlijn, kun je deze NIS2 Documentatie Toolkit raadplegen, die alle beleidsregels, procedures, plannen en andere sjablonen bevat.
