Sedert onze laatste blog over de Belgische omzetting van de NIS-richtlijn, is het inmiddels tijd voor een update. Bestaat er ondertussen al wat meer duidelijkheid voor digitaledienstverleners?
Waar ging NIS nu ook alweer over?
De NIS-richtlijn werd omgezet in Belgische wetgeving (NIS-wet), de bedoeling is om te komen tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.
De wet heeft een vrij ruim toepassingsgebied, maar specifiek met betrekking tot organisaties legt de NIS-wet bepaalde regels op voor twee typen entiteiten:
- Aanbieders van essentiële diensten (AED) [bv. elektriciteitsbedrijven, spoorwegondernemingen, financiële instellingen, zorginstellingen]
- Digitaledienstverleners (DDV): onlinemarktplaatssen, onlinezoekmachines en cloudcomputerdiensten
Deze regels betreffen o.m. beveiligingseisen, meldingsplicht van incidenten, etc.
Voor meer gedetailleerde beschrijving zie onze eerdere blog over de Belgische omzetting van de NIS-richtlijn.
Nieuwe informatie sinds de publicatie NIS-wet?
Sinds de publicatie van de NIS-wet in mei van vorig jaar zijn er drie uitvoeringsbesluiten aangenomen. Hierna geven we een beknopt overzicht van de belangrijkste punten voor DDV’s.
Voor DDV’s gelden specifieke beveiligingseisen die hoofdzakelijk bestaan uit het identificeren van risico’s en vervolgens nemen van passende maatregelen om die te beheersen. Daarnaast moet een contactpunt worden aangewezen bij de DVV en meegedeeld aan de sectorale overheid. De federale minister bevoegd voor Economie is aangewezen als sectorale overheid voor de sector van DDV’s en werd verder door de minister gedelegeerd aan de directeur-generaal van de Algemene Directie Kwaliteit en Veiligheid van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie. (In geval van afwezigheid of verhindering mag de directeur-generaal vervangen worden door een adviseur-generaal van zijn diensten.) Mededeling van het contactpunt kan door te mailen naar: nis-dsp@economie.fgov.be.
Verder werd de Federale Overheidsdienst Economie aangewezen als inspectiedienst voor de sector van de digitaledienstverleners.
Melding incidenten
Het CCB werd aangewezen als het nationale computer security incident response team (CSIRT). De DDV’s melden onverwijld ieder incident dat aanzienlijke gevolgen heeft voor de verlening van een door hen in de Europese Unie aangeboden cloudcomputerdienst: Hiervoor werd een beveiligd meldingsplatform opgericht: https://nis-incident.be/nl/. Voor meer informatie, zie de gids die door het Centrum voor Cybersecurity België (CCB) werd uitgewerkt en hier beschikbaar is.
Wanneer een incident aanzienlijke gevolgen heeft kan worden bepaalde a.d.h.v. volgende indicatieve thresholds:
- Onbeschikbaarheid gedurende meer dan 5.000.000 gebruikersuren;
- Meer dan 100.000 getroffen gebruikers;
- Risico voor de openbare veiligheid of risico voor de openbare beveiliging of heeft geleid tot een risico van verlies van mensenlevens; OF
- Veroorzaakte schade > € 1.000.000.
Noteer dat wanneer een DDV werkt voor een AED, zij deze incidenten aan de AED zullen moeten melden. Waarop die laatste het kan doormelden volgens eigen procedure. Belangrijke bedenking hierbij is dat er geen publieke lijst beschikbaar is van de AED (omwille van veiligheidsredenen). De vraag stelt zich dus wie hier het initiatief moet nemen om kennis van dit status te bekomen (DDV bevraagt zijn klanten of de AED laat dit weten)?
Merk ten slotte op dat het platform geen automatische doormelding doet of mogelijk maakt van een incident dat ook een inbreuk in verband met persoonsgegevens uitmaakt in de zin van de GDPR. Dit moet afzonderlijk worden gemeld bij de relevante toezichthoudende autoriteit (in België per definitie de Gegevensbeschermingsautoriteit of afgekort ‘GBA’).
SaaS als DDV?
Belangrijke vraag binnen de SaaS-sector: vallen zij onder deze definitie van een cloud computer dienst en kunnen zij aldus beschouwd worden als DVV?
Het Centrum voor Cybersecurity België omschrijft drie modellen van cloudcomputerdiensten (cfr. hierboven):
- IAAS
- PAAS
- SAAS
Het CCB lijkt hierbij geen onderscheid te maken en geeft louter aan dat deze drie modellen cloudcomputerdiensten uitmaken. Het valt m.a.w. in België niet zomaar uit te sluiten dat een SaaS-dienstverlener onder het toepassingsgebied van de wet resorteert. Deze mening werd ook aangehangen door de inspectiedienst van de FOD Economie, hoewel ze aangaven steeds naar de realiteit te kijken en steeds per geval de cloud criteria af te toetsen (een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit).
NIS vs. GDPR
De DDV moet een functionaris voor gegevensbescherming (in het Engels afgekort als ‘DPO’) aanstellen. Er lijkt geen specifieke sanctie voorzien te zijn voor de niet-aanstelling van een DPO in de NIS-wet, zoals dit wel het geval is voor niet-melding van incidenten of naleving van de beveiligingsplicht. Vraag stelt zich of desgevallend de GDPR–sancties niet van toepassing worden?
De parlementaire werkzaamheden bij de NIS-wet verduidelijken de DPO-vereiste, een gebruik is van de mogelijkheid uit artikel 37(4) GDPR. Dit vermeldt dat de nationale wetgever de mogelijkheid heeft om verdere situaties aan te duiden die een DPO vereisen. Desgevallend lijkt het niet onwaarschijnlijk dat ingeval van een niet aanstelling, de sancties uit de GDPR toepasselijk worden: administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.
