Sinds 18 oktober 2024 is de zogenaamde “Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie” (kortweg “de NIS2-richtlijn”) omgezet in Belgisch recht (de “NIS2-wet”) en dat brengt mogelijks een aantal nieuwe verplichtingen voor ondernemingen met zich mee.
Wat is de NIS2-wet?
“NIS” staat voor “Netwerk and informatie systemen” (cybersecurity dus). NIS2 is de opvolger van de oude NIS1 Richtlijn. Die Richtlijn had echter een te beperkt toepassingsgebied waardoor cyberdreigingen bleven toenemen.
NIS2 heeft de bedoeling daar iets aan te doen door onder meer het toepassingsgebied en de verplichtingen gevoelig uit te breiden, alsook in sanctiemechanismen te voorzien en ondernemingen zo aan te sporen van cybersecurity een belangrijk onderwerp te maken.
Wie valt er onder de NIS2-wet?
De NIS2-wet is van toepassing op entiteiten (ondernemingen en overheidsdiensten) die cumulatief voldoen aan de volgende voorwaarden:
- Actief zijn binnen een van de ‘kritische’ sectoren die in NIS2 opgelijst zijn. Dit gaat dan o.m. om bankwezen, energie, digitale aanbieders, gezondheidszorg, overheid, post- en koerierdiensten, etc.;
- Een bepaalde omvang hebben, namelijk minstens 50 werknemers tewerkstellen of een jaaromzet hebben van meer dan 10 miljoen euro.
Hoewel het aantal entiteiten op wie de wet van toepassing is beperkt lijkt, is de impact van de NIS2-wet echter wel groot.
Entiteiten die aan deze voorwaarden voldoen, krijgen onder de nieuwe wetgeving ook de verplichting om toe te zien op de cyberveiligheid van hun zogenaamde “supply chain”.
Dit houdt in dat alle leveranciers of dienstverleners van zulke entiteiten onrechtstreeks ook aan de verplichtingen van NIS2 onderworpen kunnen worden (in hun contractuele relaties).
Wat zijn die verplichtingen onder de NIS2-wet?
Ten eerste, moeten entiteiten die onder het toepassingsgebied vallen (zie hierna) zogenaamde “technische, operationele en organisatorische maatregelen nemen” om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij in het kader van hun dienstverlening gebruiken, te beheren om zo het risico op incidenten te vermijden (of op zijn minst de gevolgen ervan te beperken).
Ten tweede, bestaat er een meldingsplicht, waarbij elk significant incident onmiddellijk moet gemeld worden aan de bevoegde nationale autoriteiten. Een “significant incident” wordt omschreven als “elk incident dat significante gevolgen heeft voor de verlening van één van de diensten in de betrokken sectoren van NIS2” en dat :
- een ernstige operationele verstoring van één van de diensten in de betrokken sectoren of financiële verliezen voor de betrokken entiteit heeft veroorzaakt (of kan veroorzaken); of
- andere natuurlijke personen of rechtspersonen heeft getroffen (of kan treffen) door aanzienlijke materiële of immateriële schade te veroorzaken.
Ten derde, moeten de onderworpen entiteiten zich registreren bij het Centrum voor Cybersecurity België (CCB).
De meeste aan NIS2 onderworpen entiteiten moeten zich binnen de 5 maanden na de inwerkingtreding aan de NIS2-wet registreren, d.w.z. uiterlijk op 18 maart 2025. Bepaalde entiteiten moeten zich echter al voor 18 december 2024 registreren. Het gaat dan voornamelijk om aanbieders van onlinezoekmachines, onlinemarktplaatsen, cloudcomputingdiensten, etc.
Bestuursaansprakelijkheid
De NIS2 wet introduceert ook een bijzondere vorm van bestuursaansprakelijkheid. Als een entiteit onderworpen aan NIS2, dan moet het bestuursorgaan maatregelen voor het beheren van cyberrisico’s goedkeuren (en er ook toezicht op houden). Daarnaast moeten bestuurders van onderworpen ondernemingen ook over de nodige kennis beschikken om eventuele risico’s te identificeren. Gebeurt dat niet, dan dreigt aansprakelijkheid voor de bestuurders.
Wat betekent dit voor jouw onderneming?
De NIS2-wet is voornamelijk gericht op middelgrote en grote ondernemingen binnen bepaalde (kritische) sectoren.
Indien je onderneming producten of diensten levert aan ondernemingen die actief zijn in bovengenoemde sectoren, dan kan jouw onderneming indirect onder de NIS2-wet vallen, vooral als je diensten essentieel zijn voor de werking van kritieke systemen (bv. IT-diensten, beveiligingsdiensten,…).
Samengevat is het voor elke onderneming aangeraden na te gaan of zij (direct of indirect) binnen het toepassingsgebied valt en desgevallend de nodige maatregelen dient te nemen.
Onze PKF BOFIDI Legal experten staan voor jou klaar
Voor verdere vragen rond cyberbeveiliging, neem gerust contact op met ons PKF BOFIDI Legal team en wij helpen je graag verder.
Dit artikel werd geschreven door Lauranne Piotrowski, gespecialiseerd in intellectuele eigendom, ICT, gegevensbescherming en privacy.