Cyberveiligheid: nieuwe verplichtingen voor bedrijven geconcretiseerd

Geschreven door Anneleen Dammekens, VBO, www.vbo.be
Foto: AUM OER

De verplichtingen uit de wet inzake Netwerk- en Informatiebeveiliging (de zogenaamde NIS-wet) die gelden voor bepaalde ondernemingen, werden in een koninklijk besluit gegoten dat o.a. verduidelijkt aan welke autoriteit ondernemingen cyberincidenten moeten melden. De ondernemingen, andere dan digitale dienstverleners, voor wie deze meldplicht geldt, moeten tegen uiterlijk 3 november 2019 geïdentificeerd worden. Op digitale dienstverleners is de meldplicht onmiddellijk van toepassing.

 

De NIS-richtlijn en de omzetting ervan naar Belgisch recht, werden al besproken in een eerder artikel op de VBO-website. Deze wetgeving verplicht bepaalde bedrijven (1) onder meer om cyberincidenten met ingrijpende gevolgen zo snel mogelijk te melden aan drie partijen, met name aan CERT.be, aan de sectorale overheid voor het bedrijf in kwestie en aan het Crisiscentrum (van de FOD Binnenlandse zaken).

Wie de bevoegde overheid per sector is, staat niet in de wet. En dat is precies één van de dingen die het koninklijk besluit van 12 juli 2019 voor de meeste sectoren verduidelijkt:

Sector

Sectorale overheid

Energie

De federale minister bevoegd voor Energie*

Vervoer (niet over water)

De federale minister bevoegd voor Vervoer*

Vervoer over water

De federale minister bevoegd voor Maritieme Mobiliteit*

Gezondheidszorg

De federale minister bevoegd voor Volksgezondheid*

Digitaledienstverleners

De federale minister bevoegd voor Economie*

Financiële diensten

De Nationale Bank van België en de FSMA (deze werden reeds door de wet zelf aangewezen en niet door het koninklijk besluit)

*Elke minister kan zijn bevoegdheid delegeren aan een leidend personeelslid van zijn administratie.

Volg op 17 oktober 2019 van 12 uur tot 14 uur het online seminar GDPR, marketingpraktijken, online-reclame en compliant gebruik van social media door bedrijven met Olivier SUSTRONCK

►Lees ook: https://www.lexalert.be/nl/article/data-processing-agreements-tips-tricks

Cyberincidenten kunnen aan de drie autoriteiten tegelijk gemeld worden via een beveiligd meldingsplatform. Indien het cyberincident ook een inbreuk van persoonsgegevens inhoudt, kan de onderneming via dat platform eveneens de Gegevensbeschermingsautoriteit inlichten, overeenkomstig de Algemene Verordening Gegevensbescherming (de zogeheten GDPR).

VBO – België neemt zijn tijd voor de omzetting van de NIS-richtlijn, waardoor bepaalde ondernemingen tot op vandaag niet zeker zijn of (een deel van) hun activiteit onder de NIS-wetgeving valt. Het VBO is dan ook tevreden met de duidelijkheid die het koninklijk besluit van 12 juli 2019 schept, maar het werk is nog niet af. Het VBO rekent erop dat de bedrijven die onder het toepassingsgebied vallen de nodige tijd en begeleiding krijgen om zich in de regel te stellen met de nieuwe verplichtingen.

(1) Enerzijds bedrijven die een essentiële dienst aanbieden (vb. het leveren of vervoeren van energie, vervoer over land, water of door de lucht, gezondheidszorg, financiële diensten, zoals banken en verzekeringen, drinkwater en digitale structuren) en anderzijds digitale dienstverleners (online marktplaats, online zoekmachine of online clouddienstverlener).