Dejan KosuticBelgië heeft de NIS 2-richtlijn van de EU omgezet in zijn lokale wetgeving door de publicatie van zijn NIS 2-wet inzake cyberbeveiliging in april 2024, en het is een van de eerste EU-landen die dit doet.
Deze wet heeft een nogal lange naam: Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (in het Frans), en Wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (in het Nederlands) – dus laten we het de Belgische NIS2-wet noemen.
België heeft ook het koninklijk besluit gepubliceerd dat de modaliteiten voor de uitvoering van de NIS2-wet verder specificeert.
Hoe verhouden de Belgische NIS2-wet en het koninklijk besluit zich tot de NIS2-richtlijn, en wat zijn de bijkomende vereisten?
De Belgische NIS2-wet volgt de NIS 2-richtlijn op het gebied van beheer, cyberbeveiligingsmaatregelen en het melden van incidenten op de voet. De Belgische wet verduidelijkt enkele punten uit NIS 2 over overeenkomstbeoordeling en toezicht.
De basisprincipes van de Belgische cyberveiligheidswet en het koninklijk besluit
Zoals voorgeschreven door de NIS 2-richtlijn is het hoofddoel van de Belgische NIS2-wet om de risico’s van cyberbeveiliging voor kritieke infrastructuren (essentiële en belangrijke entiteiten) te verminderen en de veerkracht van hun netwerk- en informatiesysteem te vergroten.
De Belgische NIS2-wet vervangt de bestaande wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid en wijzigt in afdeling 7 (Algemene bepalingen) verschillende aanverwante wetten en verordeningen.
De officiële tekst van de Belgische NIS2-wet vind je hier (in het Frans) en in het Nederlands.
Het Belgische koninklijk besluit van 9 juni 2024 richt zich op implementatieaspecten, met als belangrijkste punt het referentiekader voor minimale maatregelen inzake cyberbeveiligingsrisicobeheer — u vindt de officiële tekst hier (in het Frans) en hier (in het Nederlands).
De rest van dit artikel gaat over de eisen op het gebied van cyberbeveiliging waaraan essentiële en belangrijke entiteiten moeten voldoen – dit artikel gaat niet over de rol van overheidsinstanties die de naleving van de Belgische NIS2-wet moeten afdwingen.
Verschillen tussen de NIS2-wet en de Europese NIS2-richtlijn
De belangrijkste overeenkomsten en verschillen tussen de Belgische NIS2-wet en de NIS 2-richtlijn van de EU worden in de onderstaande tabel samengevat:
| Belgische NIS2-wet vergeleken met EU NIS 2-richtlijn | |
| Welke bedrijven moeten voldoen | Dezelfde criteria als in de NIS 2-richtlijn, maar alleen voor bedrijven die in België zijn geregistreerd. Uitzonderingen zijn aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbare elektronische communicatiediensten – zij moeten voldoen aan de NIS2-wet als ze diensten leveren in België, ongeacht waar ze geregistreerd zijn. |
| Deadlines | De Belgische NIS2-wet wordt van kracht op 18 oktober 2024 (dezelfde datum als de NIS 2-richtlijn). Bedrijven die behoren tot de sectoren van digitale infrastructuur en digitale providers moeten zich voor 18 december 2024 registreren bij de nationale autoriteit voor cyberbeveiliging, terwijl alle andere essentiële en belangrijke organisaties dit voor 18 maart 2025 moeten doen. De overheid zal de deadline vaststellen voor de eerste overeenkomstbeoordeling voor essentiële entiteiten. |
| Verantwoordelijkheden van het senior management | Hetzelfde als de NIS 2-richtlijn (zie Article 20). |
| Belang van opleiding | Hetzelfde als de NIS 2-richtlijn (zie Article 20). |
| Op risico gebaseerde benadering van cyberbeveiliging | Hetzelfde als de NIS 2-richtlijn (zie Article 21). Het koninklijk besluit vereist echter naleving van een referentiekader. |
| Maatregelen voor cyberbeveiliging | Hetzelfde als de NIS 2-richtlijn (zie Article 21). Het koninklijk besluit vereist echter naleving van een referentiekader. |
| Beveiliging van de toeleveringsketen | Hetzelfde als de NIS 2-richtlijn (zie Article 21). Het koninklijk besluit vereist echter naleving van een referentiekader. |
| Verplichtingen voor het melden van incidenten | Hetzelfde als de NIS 2-richtlijn (zie Article 23). |
| Gebruik van gecertificeerde IT-producten en -diensten | Hetzelfde als de NIS 2-richtlijn; de Belgische NIS2-wet bepaalt echter dat de nationale cyberbeveiligingsstrategie het gebruik van IT-producten en -diensten zal specificeren. |
| Toezicht en handhaving | Belangrijke entiteiten moeten een periodieke overeenstemmingsbeoordeling ondergaan, terwijl belangrijke entiteiten op vrijwillige basis een overeenstemmingsbeoordeling kunnen ondergaan. |
| Boetes | Voor essentiële entiteiten, tussen €500 en €10 miljoen of tot 2% van de jaarlijkse omzet (afhankelijk van welk criterium het hoogst is). Voor belangrijke entiteiten, tussen €500 en €7 miljoen of tot 1,4% van de jaarlijkse omzet (afhankelijk van welk criterium hoger is). De boetes worden verdubbeld bij recidive. |
| Volledig nieuwe eisen | Bepaalde soorten digitale dienstverleners die diensten leveren binnen de EU maar buiten de EU gevestigd zijn, moeten een vertegenwoordiger aanstellen in de EU.
Essentiële en belangrijke entiteiten moeten zich op eigen initiatief registreren bij de nationale autoriteit voor cyberbeveiliging. Verwerking van persoonlijke gegevens in overeenstemming met de AVG. |
Welke bedrijven moeten voldoen aan de Belgische NIS2-wet?
Like the NIS 2 Directive, Belgium’s NIS2 Law prescribes that mid-sized and larger companies from the 18 specified sectors are in the scope; on top of this, some smaller organizations from those 18 sectors Net als de NIS 2-richtlijn schrijft de Belgische NIS2-wet voor dat middelgrote en grote bedrijven uit de 18 gespecificeerde sectoren onder het toepassingsgebied vallen; daarnaast moeten sommige kleinere organisaties uit die 18 sectoren ook voldoen aan de Belgische NIS2-wet – lees hier de details (in het Engels): Which companies must comply with NIS 2? Essential vs. important entities.
Het belangrijkste verschil is dat deze bedrijven (die als essentiële en belangrijke entiteiten worden beschouwd) in België moeten zijn geregistreerd om onder het toepassingsgebied van de Belgische NIS2-wetgeving te vallen. De enige uitzonderingen zijn de providers van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten – dergelijke bedrijven moeten voldoen aan de Belgische NIS2-wet, ongeacht waar ze geregistreerd zijn als ze dergelijke diensten in België leveren.
De Belgische NIS2-wet bepaalt ook dat overheidsinstanties moeten voldoen als ze afhankelijk zijn van de federale overheid of als ze afhankelijk zijn van de gefedereerde entiteiten.
Deadlines
Hoewel de Belgische NIS2-wet op dezelfde dag in werking trad als de NIS2-richtlijn (18 oktober 2024), zullen de feitelijke deadlines voor essentiële en belangrijke entiteiten om aan de richtlijn te voldoen na deze datum vallen:
- Bedrijven uit de sectoren van digitale infrastructuur en digitale aanbieders – DNS-dienstverleners, registers van topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten aanbieden, aanbieders van cloudcomputingdiensten, datacenterdienstverleners, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten – moeten binnen 2 maanden na de inwerkingtreding van de wet (d.w.z. tegen 18 december 2024) verslag uitbrengen aan de nationale autoriteit voor cyberbeveiliging.
- Alle resterende essentiële en belangrijke entiteiten moeten zich registreren bij de nationale autoriteit voor cyberbeveiliging binnen 5 maanden na de inwerkingtreding van de wet (d.w.z. tegen 18 maart 2025).
Bovendien bepaalt de wet dat de overheid de termijnen vaststelt waarbinnen essentiële entiteiten hun eerste periodieke overeenstemmingsbeoordelingen moeten uitvoeren – deze termijn is nog niet vastgesteld op het moment dat dit artikel wordt geschreven.
Toezicht en handhaving
De Belgische NIS2 -wet bepaalt dat essentiële entiteiten een periodieke beoordeling van de naleving moeten ondergaan (ook al wordt de frequentie niet gespecificeerd) en dat de volgende beoordelingen kunnen plaatsvinden:
- Overeenstemmingsbeoordeling aan de hand van een referentiekader dat wordt bepaald door de overheid en wordt uitgevoerd door een geaccrediteerde instantie die is goedgekeurd door de nationale autoriteit voor cyberbeveiliging, of
- Inspectie door de nationale autoriteit voor cyberbeveiliging
Belangrijke entiteiten zijn niet verplicht om de naleving te laten beoordelen, maar kunnen dit op vrijwillige basis doen.
Als een essentiële entiteit niet voldoet aan de Belgische NIS2-wet, kan een bevoegde autoriteit “een certificering of autorisatie met betrekking tot alle of een deel van de relevante diensten die worden geleverd of de relevante activiteiten die worden uitgevoerd door de entiteit in kwestie tijdelijk opschorten” en “een persoon die leidinggevende verantwoordelijkheden uitoefent op het niveau van directeur of wettelijk vertegenwoordiger in de entiteit in kwestie tijdelijk verbieden leidinggevende verantwoordelijkheden uit te oefenen in die entiteit”.
Boetes
Er zijn verschillende boetes die worden voorgeschreven door de Belgische NIS2-wet:
- Tussen 500 en 125.000 euro als een entiteit die binnen het toepassingsgebied valt zich niet registreert bij de nationale autoriteit voor cyberbeveiliging.
- Tussen 500 en 200.000 euro als een entiteit “ervoor zorgt dat een persoon die namens haar handelt nadelige consequenties ondervindt als gevolg van haar prestaties”.
- Tussen 500 en 7 miljoen euro, of 1,4% van de totale wereldwijde jaaromzet, voor een belangrijke entiteit die niet voldoet aan cyberbeveiliging risicobeheer en/of de rapportage van incidenten.
- Tussen 500 en 10 miljoen euro, of 2% van de totale wereldwijde jaaromzet, voor een essentiële entiteit die niet voldoet aan cyberbeveiliging risicobeheer en/of de rapportage van incidenten.
De boete wordt verdubbeld als een bedrijf dezelfde overtreding binnen 3 jaar herhaalt.
Nieuwe eisen in de Belgische NIS2-wet
De Belgische NIS 2-richtlijn bevat geen grote nieuwigheden ten opzichte van de NIS 2-richtlijn, maar het volgende moet worden vermeld.
Essentiële en belangrijke entiteiten moeten zich op eigen initiatief registreren bij de nationale autoriteit voor cyberbeveiliging – slechts in enkele zeldzame gevallen zal de nationale autoriteit voor cyberbeveiliging bepaalde organisaties aanwijzen als organisaties die aan de eisen moeten voldoen.
Als een entiteit tot een van deze categorieën behoort – DNS-dienstverleners, registers van topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten aanbieden, aanbieders van cloudcomputingdiensten, aanbieders van datacenterdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten – en ze diensten aanbieden in de Europese Unie, maar niet geregistreerd zijn in de Europese Unie, moeten ze een vertegenwoordiger aanwijzen in de Europese Unie.
Tot slot specificeert de Belgische NIS2-wet expliciet hoe persoonlijke gegevens die worden verwerkt vanwege NIS2 moeten worden behandeld in de context van de AVG.
Vereisten uit het NIS2-koninklijk besluit
Het koninklijk besluit van 9 juni 2024 bepaalt dat de Nationale Cybersecurityautoriteit een referentiekader zal opstellen voor de beoordeling van de minimale maatregelen inzake cyberbeveiligingsrisicobeheer. In de praktijk zijn er twee toegestane opties: (1) het CyberFundamentals (CyFun)-kader, gepubliceerd door het Centrum voor Cybersecurity België, of (2) ISO 27001.
Dit betekent dat essentiële en belangrijke entiteiten moeten kiezen tussen deze twee kaders om hun naleving van de Belgische NIS2-wet te definiëren. Het besluit bepaalt ook dat essentiële entiteiten zullen worden gecertificeerd door een conformiteitsbeoordelingsinstantie op basis van een van deze kaders.
De Belgische NIS2-wet en het koninklijk besluit vs. de NIS2-richtlijn
Over het algemeen volgt de Belgische NIS 2-richtlijn de NIS 2-richtlijn op de voet, met name wat betreft beheer, meting van cyberbeveiliging en melding van incidenten.
De Belgische wet verduidelijkt een aantal punten uit de NIS 2 over conformiteitsbeoordeling en toezicht en laat essentiële entiteiten kiezen hoe ze de prestatie van de conformiteitsbeoordeling uitvoeren.
Daarnaast bepaalt het koninklijk besluit de keuzemogelijkheden voor conformiteitskaders: het CyFun-kader, dat in België vrij populair is, of ISO 27001, de toonaangevende internationale norm voor cyberbeveiliging. In beide gevallen is het pad naar conformiteit duidelijk voor Belgische bedrijven die onder de NIS2-toepassingsscope vallen.
Om alle documenten te vinden die nodig zijn om te voldoen aan de NIS 2-richtlijn, kun je deze NIS2 Documentatie Toolkit raadplegen, die alle beleidsregels, procedures, plannen en andere sjablonen bevat.
