NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet is nu van kracht.
Vereisten voor het melden van incidenten: wat? Aan wie? Wanneer?
Deze pagina biedt een praktische, bondige gids over de EU-cyberbeveiliging en sectorspecifieke digitale wetgeving en de vereisten voor het melden van incidenten in België. De onderstaande links bieden een overzicht van de relevante meldings- en informatiekanalen per wetgevend kader.
Deze informatie wordt uitsluitend verstrekt ter algemene informatie en vormt geen juridisch advies. Gebruikers worden sterk aangemoedigd om zelf de toepasselijke wetteksten te raadplegen, evenals alle relevante uitvoerings- of sectorspecifieke wetgeving. In geval van onzekerheid over de interpretatie of toepassing van wettelijke verplichtingen, dienen organisaties advies in te winnen bij een gekwalificeerde juridische of regelgevende deskundige. Houd er rekening mee dat één enkel incident aanleiding kan geven tot meldings- en rapportageverplichtingen onder meerdere wettelijke kaders tegelijk (bijvoorbeeld wetgeving inzake cyberbeveiliging, gegevensbescherming, sectorale of kritieke infrastructuur). Het is de verantwoordelijkheid van de organisatie om alle potentieel toepasselijke wetten te beoordelen en ervoor te zorgen dat aan elk van deze wetten wordt voldaan.
Als zich een incident voordoet: gebruik deze tabel om snel te bepalen waar u dit moet melden.
Wetgevingsbesluit | Wie is betrokken? | Wat moet worden gemeld? | Waar moet worden gemeld? | Nuttige links/richtlijnen |
|---|---|---|---|---|
| NIS2 | Essentiële en belangrijke entiteiten in NIS2-sectoren – Scope test | Cyberincidenten met een aanzienlijke impact op de dienstverlening | (behalve financiële entiteiten → FSMA onder DORA) |
|
| AVG | Elke organisatie die persoonsgegevens verwerkt | Inbreuken op persoonsgegevens die een risico vormen voor de rechten en vrijheden van personen | (behalve politie → COC) | |
| CRA | Fabrikanten, importeurs, distributeurs van digitale producten | Ernstige beveiligingsincidenten en actief misbruikte kwetsbaarheden die van invloed zijn op producten | Nader te bepalen (gecentraliseerd meldingsplatform van ENISA & CCB als nationaal CSIRT) |
|
| AI-wet | Leveranciers en exploitanten van risicovolle AI-systemen | Ernstige incidenten met risicovolle AI-systemen | Nader te bepalen |
|
| CER | Aangewezen kritieke entiteiten | Incidenten (incl. cyberincidenten) die essentiële diensten verstoren | Nader te bepalen |
|
| DORA | Financiële entiteiten en externe ICT-leveranciers | Belangrijke ICT-gerelateerde incidenten (en grote cyberdreigingen) | FSMA | |
| eIDAS 2.0 | Vertrouwensdienstverleners & EUDI Wallet-actoren | Beveiligingsinbreuken of storingen die van invloed zijn op vertrouwensdiensten | Nader te bepalen | |
| NCCS | Elektriciteitsbedrijven met een hoge/kritieke impact | Cyberincidenten die van invloed zijn op kritieke elektriciteitsinfrastructuur | Nader te bepalen | |
| MDR / IVDR | Fabrikanten en distributeurs van medische hulpmiddelen | Ernstige incidenten die de veiligheid van patiënten of de volksgezondheid in gevaar brengen | FAGG | |
| PSR (voorstel) | Betalingsdienstaanbieders | Grote operationele of veiligheidsincidenten | Nader te bepalen (verwachte afstemming met DORA) | |
| EECC | Telecomoperatoren | Beveiligingsincidenten die van invloed zijn op netwerken of diensten | BIPT |
Van vroegtijdige waarschuwing tot eindrapport: rapportagetermijnen in verschillende kaders
Deze figuur illustreert de verschillende termijnen voor het melden van incidenten in de EU-wetgeving inzake cyberbeveiliging en digitale regelgeving. Afhankelijk van het toepasselijke wettelijke kader kunnen organisaties onderworpen zijn aan meerdere rapportagetermijnen, variërend van vroegtijdige waarschuwingen tot eindrapporten. Het overzicht laat zien hoe rapportageverplichtingen elkaar in de tijd kunnen overlappen en in reikwijdte kunnen verschillen.
