Cyberveiligheid: omzetting NIS-richtlijn in sectoren energie, vervoer, financiën, gezondheidszorg en drinkwater

Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid

Elektriciteitsbedrijven, luchtvaartmaatschappijen, financiële instellingen, ziekenhuizen, en de andere ‘aanbieders van essentiële diensten in ons land’ moeten hun netwerk- en informatiesystemen voortaan beveiligen volgens de bepalingen uit de Europese NIS-richtlijn. Dit betekent een aangepast beveiligingsbeleid (IBB) met fysieke en logistieke beveiligingsmaatregelen die voldoen aan de Europese normen.

NIS-richtlijn

Europa wil dat de lidstaten hun netwerk- en informatiesystemen op een uniforme manier beveiligen. En dat op een hoog niveau, vooral de diensten van wie de systemen bij incidenten een aanzienlijke impact (kunnen) hebben op maatschappelijke of economische activiteiten of op de openbare veiligheid. De NIS-richtlijn bevat een reeks technische en organisatorische beveiligingsmaatregelen die door de aanbieders van deze essentiële diensten moeten worden genomen om incidenten te voorkomen of de impact ervan te beperken. België heeft de bepalingen nu vertaalt naar nationaal recht.

Een must zo blijkt aangezien het huidige wetgevende kader in ons land alleen voorziet in algemene beveiligingsverplichtingen voor de exploitanten van zogenaamde ‘kritieke’ infrastructuren. Die bepalingen gelden ook voor onze essentiële netwerk- en informatiesystemen, maar het ontbreekt aan specifieke bepalingen. Een leemte die met de omzetting wordt opgevuld.

Aanbieders van essentiële netwerk- en informatiediensten

De bepalingen zijn van toepassing op de ‘aanbieders van essentiële netwerk- en informatiediensten’ die minstens één vestiging hebben op Belgisch grondgebied en daadwerkelijk een activiteit uitoefenen die betrekking heeft op de verlening van minstens één essentiële dienst in ons land en ‘digitale dienstverleners’ die hun hoofdvestiging hebben in ons land. Het gaat onder meer om bedrijven en dienstverleners in de sectoren:
  • Energie
    • Elektriciteit (elektriciteitsbedrijven, distributienetbeheerders, netbeheerders)
    • Aardolie (exploitanten van oliepijpleidingen, exploitanten van installaties voor de productie, raffinage, verwerking, opslag en vervoer van aardolie)
    • Gas (aardgasondernemingen, distributienetbeheerders, beheerders van het aardgasvervoersnet, beheerders van opslag, beheerders van LNG-installaties, exploitanten van raffinage- en verwerkingsinstallaties)
  • Vervoer
    • Luchtvervoer (luchtvaartmaatschappijen, luchthavenbeheerders, luchtvaartnavigatiediensten, netwerkbeheerder luchtverkeer)
    • Spoorvervoer (infrastructuurbeheerders en spoorwegondernemingen)
    • Vervoer over water (bedrijven voor land-, zee- en kustvervoer van passagiers en goederen, beheerders van havens, exploitanten van verkeersbegeleidingssystemen)
    • Wegvervoer (wegenautoriteiten en exploitanten van intelligente vervoerssystemen)
  • Financiën
    • Financiële instellingen
    • Financiële handelsplatformen
  • Gezondheidszorg (zorginstellingen waaronder ziekenhuizen en privéklinieken)
  • Leveranciers en distributeurs van drinkwater
  • Digitale infrastructuren (o.a. IXP, leveranciers van DNS-diensten)

Welke maatregelen?

De aanbieder van essentiële diensten neemt ‘passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van netwerk- en informatiesystemen waarvan zijn essentiële diensten afhankelijk zijn, te beheersen’.

Ze zijn bijvoorbeeld verplicht om een passend beveiligingsbeleid (IBB) uit te werken (binnen de 12 maanden na hun aanwijzing) met daarin concrete beveiligingsdoelstellingen- en maatregelen (implementeren binnen de 24 maanden na hun aanwijzing). De maatregelen voor de fysieke en logistieke beveiliging van hun systemen zijn opgenomen in het beveiligingsplan van de exploitant (BPE). Daarnaast zijn ze onderworpen aan een meldplicht bij (potentiële) incidenten en moeten ze zelf de nodige audits en controles uitvoeren.

De beveiligingsmaatregelen variëren naargelang de sector.

De sectorale en nationale ‘computer security incident response teams’ of CSIRTs hebben een belangrijke rol bij de uitvoering van en het toezicht op de nieuwe maatregelen.

Straffen

De wetgever voorziet strenge straffen bij inbreuken of tekortkomingen, met zowel een strafrechtelijke als een administratieve piste.

In werking: 3 mei 2019

Bron: Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, BS 3 mei 2019.
Zie ook
Wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, BS 15 juli 2011.
Laure Lemmens
Wolters Kluwer
  72