Wanneer we denken aan een cyberaanval, dan wordt er in de eerste plaats gedacht aan cybercriminelen die zich toegang hebben kunnen verschaffen tot jouw systemen en vervolgens onrechtmatig gebruik hebben gemaakt van jouw data. Als organisatie ben je op dat moment ook in de eerste plaats slachtoffer van een strafrechtelijk misdrijf.
Maar betekent dit dat je dan zelf geen enkele verantwoordelijkheid draagt? Uiteraard niet. De implementatie van de regelgeving rond databescherming van persoonsgegevens maakte reeds duidelijk dat je als organisatie verantwoordelijk bent voor de data die je verwerkt. Deze evolutie wordt inmiddels bevestigd door de publicatie van de Cybersecuritywet (NIS-wet). Eens je als digitale dienstverlener (of aanbieder van essentiële diensten in de sectoren Energie, Transport, Financiering of Gezondheid) onder de toepassing van deze wet valt, dan moet je rekening houden met heel wat verplichtingen.
De bescherming, de beveiliging en de betrouwbaarheid van de netwerk- en informatie systemen van aanbieders van essentiële diensten en van sommige digitale dienstverleners zijn voortaan overwegingen van algemeen belang voor de bescherming van de bevolking en de ondernemingen. De beveiligingsvoorschriften voor hun netwerk- en informatiesystemen vallen bijgevolg onder de openbare orde en veiligheid in ruime zin. En wat in het kader van de openbare orde beschermd wordt, wordt strafrechtelijk beteugeld en gecontroleerd.
Ben ik een digitale dienstverlener?
De eerste categorie, nl. aanbieders van essentiële diensten worden in deze bijdrage buiten beschouwing gelaten. De tweede categorie treft veel meer organisaties en het is belangrijk om na te gaan of je al dan niet onder het toepassingsgebied van de wet valt.
Volgens de Cybersecuritywet is een digitale dienstverlener ‘een rechtspersoon die een digitale dienst verleent’. Een digitale dienst is ‘elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, die op afstand en op individueel verzoek van een afnemer van diensten wordt verricht’. Indien we enkel deze definitie zouden hanteren, dan zouden heel wat organisaties onder de verplichtingen van de Cybersecuritywet vallen. Om die reden wordt een beperking voorzien met aangeduide categorieën die terug te vinden zijn in de bijlage van de wet.
Het gaat momenteel om:
- onlinemarktplaats: een digitale dienst die het consumenten mogelijk maakt online verkoop- of dienstenovereenkomsten met ondernemingen te sluiten op haar website of op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten;
- onlinezoekmachine: een digitale dienst die het gebruikers mogelijk maakt zoekacties uit te voeren op in principe alle websites of websites in een bepaalde taal op basis van een zoekvraag over om het even welk onderwerp in de vorm van een trefwoord, een zin of andere input; het resultaat zijn hyperlinks naar informatie over de opgevraagde inhoud;
- cloudcomputerdienst: een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit.
Wat zijn mijn verplichtingen?
Als digitale dienstverlener heb je volgende verplichtingen:
- Beveiligingsplicht: het identificeren van de risico’s voor de beveiliging van je netwerk- en informatiesystemen én passende en evenredige technische en organisatorische maatregelen nemen om die risico’s te beheersen. Deze maatregelen zorgen, rekening houdend met de stand van de technische kennis, voor een niveau van beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico’s die zich voordoen, en houden rekening met de volgende aspecten:
a) de beveiliging van systemen en voorzieningen;
b) de behandeling van incidenten;
c) het beheer van de bedrijfscontinuïteit
d) toezicht, controle en testen;
e) de inachtneming van de internationale normen.
Verder moet je ook maatregelen nemen om incidenten te voorkomen en te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen.
- Meldingsplicht: onverwijld ieder incident melden dat aanzienlijke gevolgen heeft voor de verlening van je aangeboden digitale diensten. Deze melding dient te gebeuren via het meldingsplatform dat de CCB (Centrum voor Cybersecurity België) zal organiseren en coördineren. Deze taak werd zeer recent aan het CCB toebedeeld door het gepubliceerde uitvoeringsKB, maar de verdere praktische werking hiervan dient nog uitgerold te worden.
Deze meldingsplicht geldt alleen wanneer je toegang hebt tot de informatie die nodig is om de gevolgen van een incident volledig of gedeeltelijk te beoordelen.
- Informatieplicht: de inspectiedienst van de FOD Economie binnen de gestelde termijn de informatie verstrekken die nodig is om de beveiliging van jouw netwerk- en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging. Elke niet-inachtneming van de beveiligingseisen en de eisen inzake het melden van incidenten moet je rechtzetten binnen de gestelde termijn.
Wat zijn de mogelijke sancties als ik hier niet aan voldoe?
Indien je aan bovenstaande verplichtingen niet voldoet, dan kan je zowel administratief als strafrechtelijk gesanctioneerd worden:
- Beveiligingsplicht
– Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 30.000 Euro (te vermenigvuldigen met 8)
– Administratief: een geldboete van 500,00 tot 100.000,00 Euro
- Meldingsplicht:
– Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 20.000 Euro (te vermenigvuldigen met 8)
– Administratief: een geldboete van 500,00 tot 75.000,00 Euro
- Informatieplicht:
– Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 50.000 Euro (te vermenigvuldigen met 8) – Administratief: een geldboete van 500,00 tot 75.000,00 Euro
Verhinder of belemmer je de controle of geef je opzettelijk foutieve of onvolledige informatie, dan kan je gesanctioneerd worden met een geldboete van 26,00 tot 75.000,00 Euro (x8).
Koppeling met de GDPR
Naast deze verplichtingen voorziet de Cybersecuritywet ook een bijzondere regeling in aansluiting met de GDPR. Zo zullen voor de doeleinden van de wetgeving bepaalde verwerkingen mogelijk gemaakt worden en kunnen de rechten van de betrokkenen geweigerd of beperkt worden.
Van belang is te melden dat eens je als digitale dienstverlener beschouwd wordt, je automatisch verplicht bent om een DPO (functionaris voor gegevensbescherming) aan te stellen.
Conclusie
Door de recente aanstelling van het CCB en de toewijzing van de bevoegdheid aan de inspectiediensten van de FOD Economie voor de toezicht en controle, worden de cybersecurity-verplichtingen van digitale dienstverleners steeds concreter. Als organisatie is het van belang dat je op een transparante en gedocumenteerde wijze kan aantonen dat je de cyberrisico’s correct hebt ingeschat. Ook je technische en organisatorische maatregelen zullen steeds up-to-date moeten zijn. Je bent dus bij een cyberaanval niet langer alleen het slachtoffer, maar mogelijks ook strafrechtelijk verantwoordelijk.
Roeland Lembrechts
roeland@siriuslegal.be