De NIS-richtlijn, ook wel netwerk- en informatiesystemen-richtlijn[1], werd met een jaartje vertraging omgezet in België in de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.
Wat en waarom?
Het doel van de wetgeving is het tot stand brengen van een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de EU.
Deze wetgeving voorziet in een overkoepelende aanpak op het niveau van de EU die gemeenschappelijke minimumvereisten inzake capaciteitsopbouw en planning, informatie-uitwisseling, samenwerking en gemeenschappelijke beveiligingseisen voor aanbieders van essentiële diensten en digitaledienstverleners omvat.
Toepassingsgebied
De Belgische wet is van toepassing op:
- Aanbieders van essentiële diensten, die minstens één vestiging op Belgisch grondgebied hebben en daadwerkelijk een essentiële dienst daar verlenen
- Het gaat om een publieke of private entiteit die essentiële diensten aanbieden, waaronder:
- Elektriciteitsbedrijven
- Spoorwegondernemingen
- Financiële instellingen
- Zorginstellingen
- De overheid dient een lijst op te stellen met aanbieders die als essentieel dienen worden te beschouwd.
- Het gaat om een publieke of private entiteit die essentiële diensten aanbieden, waaronder:
- Digitaledienstverleners, die hun hoofdkantoor in België hebben (+ niet in EU gevestigd, die vertegenwoordiger in België hebben)
- Het gaat om rechtspersonen die volgende diensten aanbieden:
- Onlinemarktplaats: een digitale dienst die het consumenten en/of ondernemingen, mogelijk maakt online verkoop- of dienstenovereenkomsten met ondernemingen te sluiten op de website van de onlinemarktplaats of op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten
- Onlinezoekmachines: een digitale dienst die het gebruikers mogelijk maakt zoekacties uit te voeren op in principe alle websites of websites in een bepaalde taal op basis van een zoekvraag over om het even welk onderwerp in de vorm van een trefwoord, een zin of andere input; het resultaat zijn hyperlinks naar informatie over de opgevraagde inhoud;
- Cloudcomputerdiensten: een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit;
- Het gaat om rechtspersonen die volgende diensten aanbieden:
Digitaledienstverleners
Maatregelen
Deze vereisten gelden NIET voor micro- en kleine ondernemingen[2]: klein betekent minder dan 50 personen werkzaam zijn en waarvan de jaaromzet of het jaarlijkse balanstotaal 10 miljoen EUR niet overschrijdt.
- Beveiligingseisen
- Identificeren de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij gebruiken voor het aanbieden in bedoelde diensten en nemen passende en evenredige technische en organisatorische maatregelen om die risico’s te beheersen
- de beveiliging van systemen en voorzieningen;
- de behandeling van incidenten;
- het beheer van de bedrijfscontinuïteit;
- toezicht, controle en testen;
- de inachtneming van de internationale normen.
- Nemen maatregelen om incidenten die de beveiliging van hun netwerk- en informatiesystemen aantasten, voor bedoelde diensten die in de EU worden aangeboden, te voorkomen en te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen
- Wijzen een contactpunt aan voor de computerbeveiliging en delen de gegevens ervan mee aan de overheid
- Identificeren de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij gebruiken voor het aanbieden in bedoelde diensten en nemen passende en evenredige technische en organisatorische maatregelen om die risico’s te beheersen
- Melding van incidenten
- De verplichting om een incident te melden geldt alleen wanneer de digitaledienstverlener toegang heeft tot de informatie die nodig is om de gevolgen van een incident volledig of gedeeltelijk te beoordelen.
- Melden onverwijld ieder incident dat aanzienlijke gevolgen heeft voor de verlening van een door hen in de EU aangeboden dienst.
- Incidenten worden tegelijkertijd gemeld aan het nationale CSIRT, de sectorale overheid of haar sectorale CSIRT, en de autoriteit die als NIS-contactpunt zal worden aangeduid door de koning, via een meldingsplatform. Via het platform kunnen digitaledienstverleners ook inbreuken in verband met persoonsgegevens melden aan de nationale toezichthoudende autoriteiten m.b.t. GDPR
- Wat:
- De melding gebeurt overeenkomstig de in aanmerking te nemen elementen voor het beheer van de risico’s in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft.
- De meldingen bevatten informatie om te bepalen of de eventuele grensoverschrijdende impact van het incident aanzienlijk is. Melding leidt voor de meldende partij niet tot een verhoogde aansprakelijkheid.
- Grensoverschrijdende aspecten kunnen door de nationale autoriteiten worden gedeeld met andere autoriteiten en het incident kan ook publiek worden gemaakt indien hiervoor redenen zijn.
- Elke digitaledienstverlener die persoonsgegevens verwerkt, wijst een functionaris voor gegevensbescherming (DPO) aan.
- ?
Toezicht & sancties
Er wordt een inspectiedienst opgericht, die moet worden geïnformeerd en die de mogelijkheid heeft tot a posteriori controles. Retributies te betalen door de digitaledienstverlener zijn mogelijk voor de controleprestaties.
Er wordt voorzien in strafrechtelijke en administratieve sancties bij niet-naleving van de verschillende verplichtingen.
Aanbieders essentiële diensten
Voor aanbieders van essentiële diensten gelden nog andere verplichtingen.
GDPR v. NIS
Het is duidelijk dat het toepassingsgebied tussen NIS en GDPR verschilt. GDPR gaat louter over persoonsgegevens, terwijl NIS over data in het algemeen gaat maar viseert louter aanbieders van essentiële diensten en digitaledienstverleners.
De NIS wetgeving kan daarentegen wel voorzien in een aanvulling op de GDPR, door o.a. beperkingen op de rechten van berokkenen te voorzien in bepaalde gevallen en beperkingen van de GDPR inbreuken meldingsplicht t.a.v. betrokkenen.
Voetnoten
[1] RICHTLIJN (EU) 2016/1148 VAN HET EUROPEES PARLEMENT EN DE RAAD van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, Pb.EU, 19 juli 2016, L194.
[2] Zie AANBEVELING VAN DE COMMISSIE (2003/361/EG) van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen, Pb.EU, 20 mei 2003, L124/36.
