Nieuwe wet ter versterking van cyberveiligheid - Omzetting NIS 2 richtlijn naar Belgisch recht

Op 17 mei 2024 werd de wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (de NIS 2 wet) gepubliceerd in het Belgisch Staatsblad. De NIS 2 wet vervangt de NIS 1 wet en heeft een veel ruimer toepassingsgebied. De wet vereist dat bepaalde essentiële en belangrijke entiteiten passende maatregelen nemen om hun cyberveiligheid te verhogen. Daarnaast voorziet de wet in rapporteringsverplichtingen, strenge sancties en bestuurdersaansprakelijkheid.

1. NIS 1

In 2016 trad de huidige NIS 1 richtlijn in werking. Deze werd vervolgens in de Belgische wetgeving omgezet via de NIS 1 wet van 7 april 2019. De wet is van toepassing op een beperkt aantal sectoren (bv. energie, vervoer, digitale diensten, …) en vereist dat de ondernemingen in deze sectoren bepaalde minimale veiligheidsmaatregelen nemen en incidenten melden. Al snel bleek dat het toepassingsgebied van de NIS 1 wet te beperkt was en de maatregelen op sommige vlakken niet ver genoeg gingen. Dit gaf aanleiding tot de NIS 2 richtlijn, die ook wel ‘NIS 1 on steroids’ wordt genoemd.

2. Uitgebreid toepassingsgebied NIS 2

Het materiële toepassingsgebied van de NIS 2 wet is aanzienlijk ruimer dan dat van haar voorganger. De bestaande sectoren waarop de wet van toepassing was, werden uitgebreid en er werden nieuwe sectoren toegevoegd.

De NIS 2 wet is van toepassing op ‘entiteiten’, hetgeen zowel betrekking heeft op natuurlijke als rechtspersonen. Publieke of private entiteiten vallen in principe binnen het toepassingsgebied van de NIS 2 wet van zodra ze voldoen aan de volgende cumulatieve voorwaarden:

• binnen één van de sectoren vallen zoals voorzien in de twee bijlagen van de wet, en
• een bepaalde omvang hebben. Dat is het geval van zodra de entiteit minstens 50 werknemers tewerkstelt of een jaaromzet heeft van meer dan 10 miljoen euro.

Op bovenstaande basisregel bestaan heel wat uitzonderingen waardoor bijvoorbeeld voor sommige entiteiten de omvang van geen belang is.

3. Essentiële en belangrijke entiteiten

De wet maakt een onderscheid tussen essentiële en belangrijke entiteiten. Deze kwalificatie dient in principe door de entiteit zelf te gebeuren op basis van de richtlijnen in de wet, maar de cyberbeveiligingsautoriteit (in België het Centrum voor Cybersecurity, hierna ‘CCB’) kan een entiteit ook als dusdanig identificeren. De kwalificatie heeft onder meer belang voor de toepasselijke verplichtingen, maar heeft ook gevolgen voor de mogelijke sancties.

Entiteiten dienen zich in principe binnen de 5 maanden na de inwerkingtreding van de wet of de identificatie door het CCB te registreren bij het CCB. Nu de NIS 2 wet in werking treedt op 18 oktober 2024, hebben ondernemingen tot 17 maart 2025 de tijd om zich hierover te beraden. Echter, het is ten zeerste aangewezen om deze oefening ruim vooraf te maken, aangezien de relevante verplichtingen van toepassing zijn vanaf de inwerkingtreding van de wet.

4. Maatregelen voor het beheer van cyberrisico’s

Zowel essentiële als belangrijke entiteiten dienen maatregelen te nemen ter beveiliging van hun netwerk- en informatiesystemen. De NIS 2 wet voorziet in een overzicht van de minimummaatregelen die entiteiten moeten nemen. De concrete invulling van deze maatregelen zal afhangen van een aantal factoren, zoals de stand van de techniek, de uitvoeringskosten, de kans dat een incident zich voordoet en de risico’s ervan.

Een belangrijke nieuwe maatregel in de NIS 2 wetgeving is dat er ‘supply chain-maatregelen’ moeten worden genomen. Dat wil zeggen dat de entiteit dient toe te zien op de kwaliteit van de cyberveiligheid van haar rechtstreekse leveranciers en dienstverleners. Dit heeft tot gevolg dat zelfs ondernemingen die niet binnen het toepassingsgebied van de NIS 2 wet vallen, toch indirect beïnvloed worden.

De NIS 2 wet vereist eveneens dat entiteiten voorzien in een beleid inzake risicoanalyse en beveiliging van informatiesystemen. Een policy op zich volstaat echter niet. Er dienen ook interne opleidingen te worden voorzien op het gebied van cyberbeveiliging. In het bijzonder worden de leden van de bestuursorganen verplicht om een opleiding te volgen zodat ze over voldoende kennis en vaardigheden beschikken om onder meer risico’s te identificeren en beheren.

De essentiële en belangrijke entiteiten hebben eveneens een meldingsverplichting bij significante incidenten. Zo zal de entiteit onverwijld, maar in elk geval binnen de 24u na kennisname van het incident, een eerste melding moeten doen bij het nationale computer security incident response team (CSIRT) binnen de CCB.

5. Sancties en aansprakelijkheid

Gebrek aan naleving van de NIS 2 wet kan gesanctioneerd worden met diverse administratieve maatregelen en geldboetes. Deze boetes kunnen oplopen tot 10 miljoen euro of 2 procent van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogste is.

Tot slot voorziet de NIS 2 wet in een persoonlijke aansprakelijkheid voor de natuurlijke personen die de belangrijke of essentiële entiteit vertegenwoordigen, er controle over uitoefenen of beslissingen nemen in naam van de entiteit. De CCB stelt dat dit dient om het ‘topmanagement’ te sensibiliseren. Het topmanagement doet er goed aan om na te gaan of dit gedekt wordt door haar aansprakelijkheidsverzekering.

Anticipeer en begin nu met voorbereidingen

Ondernemingen en organisaties dienen vandaag al aan de slag te gaan met een eerste analyse om vast te stellen of zij binnen het verruimde toepassingsgebied van de NIS 2 wet vallen. Wanneer dit het geval is, raden wij aan om een grondige analyse uit te voeren om zo in kaart te brengen welke maatregelen er reeds genomen werden en welke er nog ontbreken. Tot slot dient dit samen met alle relevante stakeholders binnen de onderneming uitgewerkt te worden in een concreet actieplan. Hierbij mag de opleiding van de werknemers en de leden van de bestuursorganen zeker niet over het hoofd worden gezien.