De NIS2-wet

De wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid (de "NIS2-wet") zet Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 (de "NIS2-richtlijn") om in België. De wet treedt in werking op 18 oktober 2024.

De NIS2-wet actualiseert het Belgische rechtskader inzake cyberbeveiliging door de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS1-wet) te vervangen. De nieuwe tekst gaat vergezeld van het Koninklijk Besluit van 9 juni 2024 dat de bepalingen ervan uitvoert, bijvoorbeeld door het Centrum voor Cybersecurity België (CCB) aan te wijzen als de nationale autoriteit voor cyberbeveiliging.

Netwerken en informatiesystemen zijn centrale elementen van onze samenleving geworden. Het aantal, de schaal, het raffinement, de frequentie en de impact van incidenten met deze netwerken en informatiesystemen vormen nu echter aanzienlijke bedreigingen voor de bevolking, het bedrijfsleven en de overheid.

Het doel van de wet is het versterken van maatregelen op het gebied van cyberbeveiliging, incidentbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. De wet is ook bedoeld om de coördinatie van overheidsbeleid op het gebied van cyberbeveiliging te verbeteren.

Overzicht

Om onder de Belgische NIS2-wet te vallen, moet een organisatie in principe:

• Een dienst leveren die is opgenomen in bijlage I en II van de NIS2-wet in de Europese Unie;
• De in Aanbeveling 2003/361/EG genoemde drempelwaarden voor middelgrote ondernemingen overschrijden, namelijk ten minste 50 jaararbeidseenheden (AJE) of meer dan € 10 miljoen euro jaaromzet of jaarlijks balanstotaal hebben; en
• In België gevestigd zijn.

Deze criteria worden in de volgende paragrafen uitgelegd.

Naast de uitleg op deze pagina kun je ook onze toepassingsgebied test doen:

0. Alvorens de NIS2-wet te analyseren

Voordat de wet zelf wordt geanalyseerd, is het belangrijk om eerst na te gaan of er twee situaties zijn die van invloed zijn op de manier waarop de NIS2-wetgeving van toepassing is op een organisatie.

Ten eerste is het belangrijk op te merken dat de NIS2-wet automatisch van toepassing is op alle entiteiten die worden aangemerkt als exploitanten van kritieke infrastructuur in de zin van de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur, ongeacht hun omvang. Volgens de NIS2-wet zijn deze exploitanten essentiële entiteiten.

Ten tweede vallen entiteiten die op grond van de NIS1-wet zijn aangemerkt als aanbieders van essentiële diensten (AED) of digitale-dienstverlener (DSP) in principe ook onder de NIS2-wet als ze de noodzakelijke omvangdrempels overschrijden (zie deel 1). De reden hiervoor is eenvoudig: het toepassingsgebied van de NIS2-richtlijn is een uitbreiding van het toepassingsgebied van de NIS1-richtlijn.

1. De grootte van een entiteit ("size-cap")

Om onder het toepassingsgebied van de NIS2-wet te vallen, moet een organisatie een bepaalde omvang hebben. In principe moet een organisatie ten minste een middelgrote onderneming zijn, berekend aan de hand van de bijlage van Aanbeveling 2003/361/EG van de Commissie, maar er zijn bepaalde uitzonderingen (waarover hieronder meer).

De grootte van een organisatie wordt bepaald aan de hand van twee criteria: het aantal werkzame personen (gemeten in voltijdequivalenten (VTE)*) en financiële bedragen (jaaromzet en/of jaarlijks balanstotaal). Hoe deze twee criteria precies worden vastgesteld, is te vinden in de bijlage van de Aanbeveling zelf of in de handige gebruikershandleiding van de Commissie bij de KMO-definitie.

Om de grootte van een organisatie te bepalen, moet je eerst kijken naar het aantal werkzame personen:

• < 50 VTE*: micro- of kleine onderneming
• ≥ 50 VTE* en < 250 VTE*: middelgrote onderneming
• > 250 VTE*: grote onderneming

Daarna moet het aantal werkzame personen gecombineerd worden met de financiële bedragen om de definitieve indeling te krijgen: een onderneming kan ervoor kiezen om ofwel aan het omzetplafond ofwel aan het balanstotaalplafond te voldoen. Ze mag een van de financiële maxima overschrijden zonder gevolgen voor haar KMO-status. We kijken dus alleen naar het laagste van de twee bedragen.

De plafonds voor de jaaromzet zijn de volgende:

• ≤ 10 mln. €: micro- of kleine onderneming
• > 10 mln. € en ≤ 50 mln. €: middelgrote onderneming
• > 50 mln. €: grote onderneming

De plafonds voor het jaarlijkse balanstotaal zijn de volgende:

• ≤ 10 mln. €: micro- of kleine onderneming
• > 10 mln. € en ≤ 43 mln. €: middelgrote onderneming
• > 43 mln. €: grote onderneming

Voorbeeld 1: een bedrijf met 35 VTE* (klein) heeft een jaarlijkse omzet van 1.000.000€ (klein) en een jaarlijks balanstotaal van 50.000.000€ (groot). Voor de financiële bedragen wordt alleen gekeken naar het laagste bedrag: de omzet. Het is dus een kleine of micro-onderneming.

Voorbeeld 2: een onderneming met 80 VTE* (middelgroot) heeft een jaaromzet van 1.000.000€ (klein) en een jaarlijks balanstotaal van 70.000.000€ (groot). Voor de financiële bedragen wordt alleen gekeken naar het laagste bedrag: de omzet. Omdat de omzet klein is maar het aantal werkzame personen middelgroot, is het een middelgrote onderneming.

Visueel ziet het er als volgt uit:

Als we de verschillende mogelijke afmetingen combineren met het servicecriterium, krijgen we het volgende toepassingsgebied (met enkele uitzonderingen - zie hieronder):

* Voltijdsequivalenten (VTE) (in de Aanbeveling "jaararbeidseenheden (AJE)" genoemd) zijn het aantal personen dat gedurende het gehele referentiejaar in kwestie voltijds in de onderneming of voor rekening van de onderneming heeft gewerkt. Het werk van personen die niet het hele jaar hebben gewerkt, het werk van degenen die in deeltijd hebben gewerkt, ongeacht de duur, en het werk van seizoenarbeiders worden als delen van AJE's geteld. De Aanbeveling en de gids specificeren verder welke personeelsleden geteld moeten worden.

Het verschil tussen essentiële en belangrijke entiteiten heeft vooral te maken met hoe streng ze worden gecontroleerd en gesanctioneerd.

Het is belangrijk op te merken dat de Aanbeveling ook bepaalt dat de berekening van de omvang van een organisatie die deel uitmaakt van een groep (zogenaamde "partnerondernemingen" of "verbonden ondernemingen") een consolidatie van de gegevens van de verschillende onderdelen van deze groep impliceert. Meer details over dit onderwerp zijn te vinden in de Aanbeveling of in de gids.

Er zijn echter een aantal uitzonderingen op de "size-cap". Bepaalde soorten entiteiten vallen onder het toepassingsgebied van de NIS2-wet, ongeacht hun omvang:

• Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel)
• Niet-gekwalificeerde verleners van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
• DNS-serviceproviders (essentieel)
• TLD-naamregisters (essentieel)
• Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
• Aanbieders van openbare elektronische communicatienetwerken (essentieel)
• Aanbieders van openbare elektronische communicatiediensten (essentieel)
• Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur overeenkomstig de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur (essentieel)
• Overheden die van de Federale Staat afhangen (essentieel)

Los van deze regels zal het Centrum voor Cybersecurity België (CCB) ook specifieke entiteiten als "essentieel" of "belangrijk" kunnen aanmerken, bijvoorbeeld wanneer zij de enige leverancier van een dienst zijn of wanneer de verstoring van de geleverde diensten een significant effect zou kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid.

2. De dienst die wordt geleverd door een entiteit

Naast de omvangbeperking vereist de dienstenvoorwaarde dat een organisatie al haar diensten aan derden, per sector en subsector, volledig analyseert. Dit is belangrijk, omdat zelfs de meest bijkomstige dienst die wordt geleverd ervoor kan zorgen dat een organisatie als geheel onder het toepassingsgebied van de NIS2-wet valt, tenzij anders vermeld in de definitie van de betreffende dienst.

Alle diensten die onder de NIS2-wet vallen, worden beschreven in bijlagen I en II (of in de definities) van de wet. Als een organisatie een van de daar genoemde diensten levert en voldoet aan het overeenkomstige omvangcriterium, dan valt ze onder de NIS2-wet als ze kan worden gekoppeld aan België (zie deel 3).

De verschillende diensten zijn gegroepeerd per sector. Hier is de lijst met de verschillende sectoren en subsectoren:

De meeste diensten worden gedefinieerd aan de hand van definities in EU-wetgevingsinstrumenten. Het is van groot belang om deze definities te raadplegen om te controleren of ze overeenkomen met de werkelijke dienst die door een organisatie wordt geleverd. Om organisaties by deze taak te helpen, heeft het CCB een Excel-table opgesteld die al deze definities samenbrengt in één document:

Een organisatie die analyseert of ze binnen de werkingssfeer van de NIS2-wet valt, moet dus het verband leggen tussen een dienst die ze levert en een dienst die wordt genoemd in de bijlagen van de wet. Opgemerkt moet worden dat het mogelijk is dat een organisatie meerdere diensten verleent en onder meerdere sectoren valt.

Voor een beter overzicht van de toepassingsgebied van de wet, nodigen we je uit om onze visuele samenvatting raadplegen:

3. Link met België

In principe is de Belgische NIS2-wet alleen van toepassing op in België gevestigde entiteiten die hun diensten verlenen of hun activiteiten uitvoeren binnen de EU. Twee concepten zijn hier belangrijk:

• Het begrip "vestiging" impliceert eenvoudigweg de feitelijke uitoefening van een activiteit door middel van een permanente vestiging, ongeacht de gekozen rechtsvorm, of dit nu de maatschappelijke zetel, een eenvoudig filiaal of een dochteronderneming met rechtspersoonlijkheid is.
• Het begrip "entiteit" wordt in artikel 8, 37° van de NIS2-wet gedefinieerd als een natuurlijke of rechtspersoon die als zodanig is opgericht en erkend volgens het nationale recht van zijn vestigingsplaats, en die in eigen naam rechten kan uitoefenen en aan verplichtingen kan worden onderworpen.

Er zijn echter drie uitzonderingen op de regel van vestiging in België:

• De Belgische NIS2-wet is van toepassing op aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in België aanbieden;
• De Belgische NIS2-wet is van toepassing op DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in België hebben of hun wettelijke vertegenwoordiger voor de EU in België*;
• De Belgische NIS2-wet is van toepassing op overheidsinstanties die door België zijn opgericht.

Het begrip "hoofdvestiging" verwijst naar de vestiging waar bedoelde entiteiten hun er hoofdzakelijk de beslissingen nemen rond maatregelen voor het beheer van cyberbeveiligingsrisico's. Als dit niet kan worden vastgesteld of als dergelijke besluiten niet in de Unie worden genomen, is de hoofdvestiging de vestiging waar de entiteit hun cyberbeveiligingsactiviteiten uitvoert. Als ook deze plaats niet kan worden bepaald, is de hoofdvestiging de plaats waar de entiteit het grootste aantal werknemers in de Unie heeft.

* Als een entiteit bedoeld in punt 2) niet in de EU is gevestigd maar er haar diensten verleent, moet ze een wettelijke vertegenwoordiger aanstellen die gevestigd is in een lidstaat waar ze haar diensten aanbied. Als deze vertegenwoordiger in België gevestigd is, wordt de entiteit geacht haar hoofdvestiging in België te hebben.

Als een entiteit meerdere vestigingen heeft in verschillende EU-lidstaten, zal het onderworpen zijn aan de omzettingswetgeving in elk van de betrokken lidstaten. De verschillende bevoegde nationale autoriteiten zullen samenwerken op het gebied van inspecties en de melding van significante incidenten.

Niet in het toepassingsgebied? Vergeet identificatie en toeleveringsketen niet!

Het is mogelijk dat na een grondige analyse van het toepassingsgebied van de NIS2-wet bepaalde organisaties zich realiseren dat ze in feite niet onder die wet vallen. Alle niet-NIS2-organisaties moeten zich ervan bewust zijn dat de NIS2-wet hen nog steeds op twee manieren kan raken.

Ten eerste kan de nationale autoriteit voor cyberbeveiliging (het CCB) bepaalde organisaties, ongeacht hun omvang, in vier verschillende omstandigheden aanmerken als essentiële of belangrijke entiteiten in het kader van de NIS2-wet:

• de entiteit is de enige aanbieder, in België, van minstens één dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten, met name in een van de sectoren of deelsectoren van de bijlagen I en II van de wet;
• een verstoring van de door de entiteit verleende dienst kan aanzienlijke gevolgen hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid;
• een verstoring van de door de entiteit verleende dienst kan een aanzienlijk systeemrisico met zich brengen, met name voor sectoren waar een dergelijke verstoring een grensoverschrijdende impact kan hebben;
• de entiteit is kritiek vanwege het specifieke belang ervan op nationaal of regionaal niveau voor de specifieke sector of het specifieke type dienst, of voor andere onderling afhankelijke sectoren in België.

Dit proces verloopt in overleg met de betrokken entiteit en andere relevante actoren, zoals de sectorale autoriteit (als die bestaat) en de relevante gefedereerde entiteiten. Meer informatie over deze procedure is te vinden in artikel 11 van de NIS2-wet of in onze FAQ.

Ten tweede kan een organisatie in de toeleveringsketen van een NIS2-entiteit vallen en op grond van een contractuele verplichting worden geconfronteerd met de verplichting om maatregelen voor het beheer van cyberbeveiligingsrisico’s te implementeren. NIS2-entiteiten zijn inderdaad verplicht om de beveiliging van hun toeleveringsketen te verzekeren, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.

In deze context adviseert het Centrum voor Cybersecurity België alle organisaties die zich in de toeleveringsketen van een NIS2-entiteit kunnen bevinden, om ten minste te voldoen aan de maatregelen die zijn uiteengezet in het CyberFundamentals (CyFun®) Framework level Basic. Een NIS2-entiteit zou theoretisch de naleving van een bepaald CyFun®-niveau kunnen opleggen aan haar directe leveranciers of dienstverleners.

Overzicht

De NIS2-wet legt een aantal verplichtingen op aan essentiële en belangrijke entiteiten. Deze omvatten registratie op Safeonweb@Work, implementatie van maatregelen voor het beheer van cyberbeveiligingsrisico's, melding van significante incidenten aan het nationale CSIRT (het CCB), verplichtingen voor het management en samenwerking met de autoriteiten.

Al deze verplichtingen worden in de volgende secties beschreven.

Aanvullende informatie is te vinden in onze FAQ.

1. Registratie op Safeonweb@Work

NIS2-entiteiten die onder het toepassingsgebied van de Belgische NIS2-wet vallen, moeten hun organisatie registreren bij het CCB. In de praktijk neemt registratie de vorm aan van een online formulier dat moet worden ingevuld hier op Safeonweb@Work.

De termijn voor registratie hangt af van het soort entiteit. In principe hebben essentiële en belangrijke entiteiten en aanbieders van domeinnaamregistratiediensten 5 maanden vanaf de inwerkingtreding van de wet om zich te registreren. Aangezien de inwerkingtreding is gepland voor 18 oktober 2024, moet de registratie uiterlijk 18 maart 2025 zijn voltooid.

Bij registratie moeten bedrijven de volgende informatie verstrekken:

• hun naam, registratienummer bij de Kruispuntbank van Ondernemingen (KBO) of een gelijkwaardige registratie in de Europese Unie;
• hun huidig adres en contactgegevens, waaronder e-mailadres, IP-bereiken en telefoonnummer;
• indien van toepassing, de relevante sector en deelsector waarnaar wordt verwezen in bijlage I of II van de wet; en
• indien van toepassing, een lijst van de lidstaten waar zij diensten verlenen die binnen het toepassingsgebied van de wet vallen.

Er is een uitzondering voor entiteiten die deze informatie al hebben doorgegeven aan een NIS2-sectorautoriteit. In dit geval hoeft de informatie alleen te worden bijgewerkt indien nodig. Als de informatie verandert, moeten alle entiteiten het CCB daarvan onmiddellijk op de hoogte stellen.

Voor de volgende soorten entiteiten bestaat een licht aangepaste regeling:

• DNS-dienstverleners;
• registers voor topleveldomeinnamen;
• entiteiten die domeinnaamregistratiediensten verlenen;
• aanbieders van cloudcomputingdiensten;
• aanbieders van datacentra;
• aanbieders van netwerken voor de levering van inhoud;
• aanbieders van beheerde diensten;
• aanbieders van beheerde beveiligingsdiensten;
• aanbieders van onlinemarktplaatsen;
• aanbieders van onlinezoekmachines; en
• aanbieders van platforms voor sociale netwerkdiensten.

Ze moeten zich registreren binnen 2 maanden na de inwerkingtreding van de wet, d.w.z. uiterlijk op 18 december 2024, en de volgende informatie verstrekken:

• hun naam;
• hun relevante sector, deelsector en soort entiteit bedoeld in bijlage I of II, waar van toepassing;
• het adres van hun hoofdvestiging en hun andere wettelijke vestigingen in de Unie of, indien deze niet in de Unie zijn gevestigd, van hun vertegenwoordiger;
• hun actuele contactgegevens, met inbegrip van e-mailadressen en telefoonnummers en, indien van toepassing, deze van hun vertegenwoordiger;
• de lidstaten waar ze hun diensten verlenen die tot het toepassingsgebied van deze wet behoren; en
• hun IP-bereiken.

Elke entiteit, al dan niet onder de uitzondering vallend, is verplicht om het CCB onmiddellijk op de hoogte te brengen van wijzigingen in deze informatie.

In de praktijk wordt een deel van deze informatie rechtstreeks van de Kruispuntbank van Ondernemingen (KBO) verkregen tijdens het registratieproces.

2. Maatregelen voor het beheer van cyberbeveiligingsrisico's

Essentiële en belangrijke entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.

Bovendien moeten de getroffen maatregelen zorgen voor een beveiligingsniveau voor netwerken en informatiesystemen dat in verhouding staat tot het bestaande risico, rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten. Bij de beoordeling van de evenredigheid van deze maatregelen moet terdege rekening worden gehouden met de mate waarin de entiteit aan risico's is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.

De maatregelen moeten dus zo goed mogelijk worden afgestemd op de concrete situatie van de betrokken entiteit.

In de NIS2-wet staat ook dat deze maatregelen zijn gebaseerd een benadering die alle gevaren omvat en tot doel hebben netwerk- en informatiesystemen en hun fysieke omgeving te beschermen tegen incidenten. In de wet worden 11 minimummaatregelen genoemd die elke NIS2-entiteit moet implementeren:

1. Beleid voor risicoanalyse en beveiliging van informatiesystemen;
2. incidentenbehandeling;
3. bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen en crisisbeheer;
4. beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
5. beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
6. Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen;
7. Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
8. Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
9. Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
10. Wanneer gepast, het gebruik van multifactorauthenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit;
11. Een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.

Om de praktische implementatie van deze maatregelen te vergemakkelijken, adviseert het Centrum voor Cybersecurity België alle NIS2-entiteiten gebruik te maken van het CyberFundamentals (CyFun®) Framework, dat al deze punten omvat. Een gevalideerde implementatie van het CyFun Framework geeft NIS2-entiteiten een vermoeden van conformiteit. Ga voor meer informatie naar onze pagina over het CyFun Framework en zie ons hoofdstuk over toezicht hieronder.

Voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten, heeft de Europese Commissie uitvoeringsverordening 2024/2690 aangenomen waarin de technische en methodologische vereisten van de 11 minimummaatregelen voor cyberbeveiliging waarnaar in NIS2 wordt verwezen, in detail worden beschreven.

3. Melding van significante incidenten

De NIS2-wet bepaalt dat essentiële en belangrijke entiteiten het nationale CSIRT (het CCB) in kennis moeten stellen van elk significant incident dat gevolgen heeft voor de verlening van hun diensten in de (sub)sectoren die in de bijlagen van de wet worden opgesomd, met inbegrip van, indien van toepassing, informatie aan de hand waarvan kan worden vastgesteld of het incident in kwestie een grensoverschrijdend effect heeft.

Om aan deze verplichting te voldoen, moet men begrijpen wat wordt bedoeld met "incident" en met "significant".

De NIS2-wet definieert "incident" als een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt.

Een "significant" incident is elk incident bedoeld dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:

• een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
• andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Als het incident in kwestie aan deze definitie voldoet, moet de melding aan het nationale CSIRT (het CCB) in verschillende stappen worden gedaan:

• onverwijld en uiterlijk binnen 24 uur nadat zij kennis heeft gekregen van het significante incident, geeft de entiteit een vroegtijdige waarschuwing door;
• onverwijld en uiterlijk binnen 72 uur (24 uur voor verleners van vertrouwensdiensten) nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentmelding;
• op verzoek van het nationale CSIRT of, indien van toepassing, van de betrokken sectorale overheid, bezorgt de entiteit een tussentijds verslag;
• uiterlijk één maand na de in punt 2 bedoelde incidentmelding, bezorgt de entiteit een eindverslag;
• Indien het eindverslag niet kan worden ingediend omdat het incident nog aan de gang is, bezorgt de entiteit een voortgangsverslag en, binnen één maand nadat zij het incident definitief heeft afgehandeld, het eindverslag.

In de praktijk vindt de melding plaats via onze notificatieplatform. Meer informatie over het melden van incidenten vindt je in onze gids.

Notificatieplatform

Gids voor NIS2 meldingen

Naast de kennisgeving aan het nationale CSIRT brengen de betrokken entiteiten, in voorkomend geval, de ontvangers van hun diensten op de hoogte van alle significante incidenten die een negatieve invloed kunnen hebben op de levering van de voornoemde diensten. De entiteiten informeren ook de ontvangers van hun diensten die mogelijk getroffen worden door een significante cyberdreiging over alle maatregelen en correcties die kunnen worden genomen om hierop te reageren, en zelfs over de cyberdreiging zelf.

Voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten, heeft de Europese Commissie een uitvoeringsverordening 2024/2690 aangenomen waarin de criteria worden gespecificeerd om te beoordelen of een incident als significant wordt beschouwd. Voor de entiteiten waarop de uitvoeringsverordening betrekking heeft, gelden deze bijzondere regels. In het geval van tegenstrijdigheden tussen de gids van het CCB en de uitvoeringshandeling, prevaleert de laatste voor deze entiteiten

4. Verplichtingen en verantwoordelijkheden voor het management

De bestuursorganen van NIS2-entiteiten moeten maatregelen voor het beheer van cyberbeveiligingsrisico's goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk.

Leden van de bestuursorganen zijn verplicht om opleidingen te volgen om ervoor te zorgen dat hun kennis en vaardigheden voldoende zijn om risico's te identificeren en maatregelen voor het beheer van cyberbeveiligingsrisico's en de impact ervan op de diensten die door de betreffende entiteit worden verleend, te beoordelen. 

De memorie van toelichting bij de NIS2-wet definieert "lid van een bestuursorgaan" als:

De verantwoordelijke personen en/of wettelijke vertegenwoordigers van een entiteit moeten de bevoegdheid hebben om ervoor te zorgen dat de entiteit de wet nakomt. Ze zijn aansprakelijk als ze dit nalaten.

De aansprakelijkheid van bestuursorganen, verantwoordelijke personen en wettelijke vertegenwoordigers doet geen afbreuk aan de aansprakelijkheidsregels die gelden voor overheidsinstanties, alsook voor ambtenaren en verkozen of benoemde overheidsfunctionarissen.

5. Samenwerking met de autoriteiten

De NIS2-wet vereist dat entiteiten die binnen zijn toepassingsgebied vallen, samenwerken met de nationale autoriteiten die verantwoordelijk zijn voor de uitvoering ervan, met name het CCB en de sectorale autoriteiten.

Deze samenwerking neemt meestal de vorm aan van een uitwisseling van informatie over de beveiliging van netwerken en informatiesystemen, maar omvat ook samenwerking tussen de entiteit en de CCB's of de sectorale inspectiedienst.

Overzicht

Als we het hebben over toezicht in het kader van de NIS2-wet, moeten we onderscheid maken tussen twee categorieën entiteiten: essentiële entiteiten en belangrijke entiteiten. Het belangrijkste verschil tussen de twee heeft betrekking op toezicht en sancties:

• Essentiële entiteiten staan onder proactief ("ex-ante") en reactief ("ex-post") toezicht. Meer specifiek worden essentiële entiteiten onderworpen aan verplichte regelmatige conformiteitsbeoordelingen. 
• Belangrijke entiteiten zijn in principe alleen onderworpen aan "ex-post" toezicht, d.w.z. na een incident of op basis van bewijzen, aanwijzingen of informatie dat een belangrijke entiteit de verplichtingen van de wet niet naleeft.

Dit hoofdstuk gaat in detail in op hoe het toezicht zal verlopen, welke deadlines entiteiten moeten respecteren en welke sancties kunnen worden opgelegd.

Meer informatie over het CyberFundamentals Framework is beschikbaar op de betreffende pagina.

1. Toezicht op essentiële en belangrijke entiteiten

Essentiële entiteiten moeten een verplichte regelmatige conformiteitsbeoordeling ondergaan. Deze beoordeling wordt uitgevoerd op basis van een keuze die de entiteit maakt uit drie opties: 

• Een CyberFundamentals (CyFun®)-certificering (niveau Essential) of -verificatie (niveau Important of Basic) met het relevante toepassingsgebied, toegekend door een conformiteitsbeoordelingsinstantie (CAB) die is goedgekeurd door het CCB na accreditatie door BELAC;
• Een ISO/IEC 27001-certificering met het relevante toepassingsgebied, toegekend door een CAB die is geaccrediteerd door een accreditatie-instelling die de overeenkomst inzake wederzijdse erkenning (MLA) voor de ISO 27001-norm ondertekend heeft in het kader van de European co-operation for Accreditation (EA) of het International Accreditation Forum (IAF);
• Een inspectie door de inspectiedienst van het CCB (of door een sectorale inspectiedienst).

De conformiteitsattest die essentiële entiteiten ontvangen na de conformiteitsbeoordeling van het door hen gekozen kader, stelt hen in staat te profiteren van een vermoeden van conformiteit. Tot het tegendeel is bewezen, worden ze verondersteld hun verplichtingen te zijn nagekomen.

Omdat essentiële entiteiten proactief en reactief worden gecontroleerd, kan de inspectiedienst ze ook op elk moment inspecteren. Voor belangrijke entiteiten wordt het toezicht enkel "ex-post" uitgevoerd door de inspectiedienst. In principe zijn ze dus niet onderworpen aan een regelmatige conformiteitsbeoordeling. Deze entiteiten kunnen zich echter vrijwillig onderwerpen aan hetzelfde regime als essentiële entiteiten en krijgen als zodanig ook een vermoeden van conformiteit.

Tijdens zijn controle kan de inspectiedienst van het CCB (of een sectorale inspectiedienst, of beide samen) inspecties ter plaatse uitvoeren, toezicht ter plaatse houden, ad-hocaudits, maar ook van beveiligingsscans en algemene verzoeken om informatie en bewijsmateriaal uitvoeren. Alle NIS2-entiteiten moeten altijd voldoen aan de verzoeken van de inspectiedienst(en). Doen ze dat niet, dan lopen ze administratieve boetes op.

Essentiële en belangrijke entiteiten hebben ook de mogelijkheid om een CyFun® -zekerheidsniveau te gebruiken dat lager is dan hun NIS2-classificatie. Een essentiële entiteit zou bijvoorbeeld, op basis van een volledige risicoanalyse, het gebruik van het CyFun® -niveau "Important" kunnen rechtvaardigen. Deze keuze zou geen afbreuk doen aan zijn classificatie als essentiële entiteit volgens de NIS2-wet. Er moet worden opgemerkt dat de inspectiedienst een entiteit kan sanctioneren voor het ten onrechte conformeren aan een lager CyFun® -niveau.

2. Tijdlijn supervisie

De NIS2-wet en het Koninklijk Besluit treden in werking op 18 oktober 2024. Bijgevolg zullen alle verplichtingen van de wet en het Koninklijk Besluit vanaf die datum van toepassing zijn op essentiële en belangrijke entiteiten (cyberbeveiligingsmaatregelen, melding van incidenten, enz.).

De controle van essentiële entiteiten vindt dan gradueel verlopen, op basis van het gekozen traject voor de regelmatige conformiteitsbeoordeling. 

Niet later dan 18 april 2026 moeten essentiële entiteiten, als onderdeel van de eerste verplichte conformiteitsbeoordelingen, ten minste:

1. Ofwel een CyFun® -niveau Important verificatie verkrijgen, in het kader van een beoordeling uitgevoerd door een conformiteitsbeoordelingsinstantie (CAB) op basis van het CyFun® -kader ;
2. Ofwel de toepassingsgebied en de statement of applicability voorleggen aan de CCB als onderdeel van een beoordeling uitgevoerd door een CAB op basis van de ISO/IEC 27001 norm;
3. Of een CyFun® -zelfevaluatie van niveau Important* (*of niveau Basic afhankelijk van het resultaat van de risicoanalyse) voorleggen aan het CCB, in het kader van een evaluatie uitgevoerd door de inspectiedienst van het CCB;
4. Ofwel het informatiebeveiligingsbeleid, de toepassingsgebied en de statement of applicability van de ISO/IEC 27001-norm voorleggen aan het CCB, in het kader van een beoordeling door de CCB-inspectiedienst. 

Uiterlijk 18 april 2027 moeten essentiële entiteiten die kiezen voor een CyFun® of ISO/IEC 27001 certificering deze hebben verkregen.

Voor entiteiten die geïdentificeerd zijn door het CCB (zoals uitgelegd aan het einde van het toepassingsgebied-sectie hierboven), beginnen deze termijnen te lopen op de dag dat de identificatie wordt meegedeeld aan de betrokken entiteit.

3. Sancties

Inspecteurs kunnen ter plaatse gaan, notulen opmaken en rapporten schrijven. Op basis van deze bevindingen kan een procedure worden gestart om een entiteit te bevelen een einde te maken aan een overtreding en, indien nodig, passende administratieve maatregelen te nemen, variërend van waarschuwingen tot administratieve boetes.

Mogelijke administratieve maatregelen en boetes worden door de richtlijn vastgesteld. Als een maatregel of boete nodig wordt geacht, wordt altijd de facto rekening gehouden met de situatie en eventuele herhaalde overtredingen, zodat de maatregel of boete evenredig is. 

De volgende administratieve boetes kunnen worden opgelegd (verdubbeld bij herhaaldelijk gedrag binnen een periode van 3 jaar):

• 500 tot 125.000 euro voor het niet voldoen aan de rapportageverplichtingen van artikel 12 (identificatieproces);
• 500 tot 200.000 euro voor een entiteit die een van haar werknemers of onderaannemers heeft gesanctioneerd voor het te goeder trouw en binnen het kader van hun taken uitvoeren van de verplichtingen van de wet;
• 500 tot 200.000 euro voor het niet voldoen aan toezichtverplichtingen;
• 500 tot 7.000.000 euro of, indien dit hoger is, 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van het bedrijf waartoe de entiteit behoort [belangrijke entiteiten];
• 500 tot 10.000.000 euro of, indien dit hoger is, 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de entiteit behoort [essentiële entiteiten].

Het CCB kan ook de volgende administratieve maatregelen opleggen:

• Waarschuwingen of bindende instructies geven;
• Instrueren om een gedrag te stoppen of om risicobeheersmaatregelen of rapportageverplichtingen in overeenstemming te brengen;
• Instrueren om de natuurlijke of rechtsperso(o)n(en) aan wie zij diensten verlenen te informeren of om vastgestelde overtredingen openbaar te maken;
• Een controlefunctionaris benoemen [essentiële entiteiten];
• Instrueren om de voorgestelde aanbevelingen uit te voeren;
• Temp. een certificering of vergunning tijdelijk opschorten met betrekking tot alle of een deel van de relevante verleende diensten [essentiële entiteiten];
• Temp. de uitoefening van leidinggevende functies tijdelijk verbieden [essentiële entiteiten].

Het uiteindelijke doel van deze maatregelen en boetes is om het niveau van cyberbeveiliging van essentiële en belangrijke entiteiten te versterken en daarmee ook het niveau van cyberbeveiliging van het hele land.

Het Centrum voor Cybersecurity België heeft een uitgebreide tijdlijn opgesteld voor verplichtingen en toezicht die van toepassing zijn op essentiële en belangrijke entiteiten: