Door de publicatie van een koninklijk besluit van 12 juli 2019 geldt er sinds 18 juli 2019 voor elk bedrijf dat zogenaamde essentiële diensten aanbiedt een meldplicht na cyberincidenten. Dit is een eerste en belangrijke stap voor de uitvoering van de NIS-wet die onze maatschappij en economie cyberveilig moet maken.
In een eerdere Eubelius Flash berichtten wij u over de publicatie van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid ("de NIS-Wet"). Deze wet zette de Europese NIS-richtlijn (2016/1148/EU) om in Belgische wetgeving. Ze voerde een meldplicht bij cyberincidenten in voor (i) bedrijven die een zogenaamde essentiële dienst aanbieden, zoals energie, gezondheidszorg of transport, voor zover bepaalde drempelwaarden zijn overschreden, en voor (ii) digitale dienstverleners.
Voor de toepassing van verschillende van die regels bleef het wachten op een koninklijk besluit. Op 18 juli 2019 verscheen dit koninklijk besluit van 12 juli 2019 (verder het "KB") in het Belgisch Staatsblad. Het KB trad meteen in werking.
Het KB is belangrijk omdat het antwoord biedt op volgende drie vragen:
- Wie moet een cyberincident melden, wanneer en aan welke autoriteiten?
- Welke zijn de bevoegde autoriteiten waaraan gemeld moet worden, algemeen en per sector?
- Aan welke voorwaarden moeten de instellingen voldoen die externe audits uitvoeren van aanbieders van essentiële diensten?
Wie moet een cyberincident melden, wanneer en aan welke autoriteiten?
Welke zijn de bevoegde autoriteiten aan wie gemeld moet worden, algemeen en per sector?
Aan welke voorwaarden moeten de instellingen voldoen die externe audits uitvoeren van aanbieders van essentiële diensten?
De wet voorziet in externe audits. De aanbieders van dergelijke audits moeten in de eerste plaats voldoen aan de accreditatiecriteria van ISO/IEC 17021 of ISO/IEC 17065. Die normen leggen specifieke eisen vast voor wie cyberveiligheidaudits en certificering van managementsystemen wil uitvoeren. Daarnaast leggen die normen ook voorschriften op om ervoor te zorgen dat de certificering competent, consistent en onpartijdig gebeurt.
Verder moeten deze aanbieders voldoen aan de werkingsprocedures van het accreditatiesysteem, die van toepassing zijn op de geaccrediteerde instellingen. Het KB gaat evenwel niet in op specifieke sectorale maatregelen of facultatieve maatregelen die bij toekomstige KB's kunnen worden geregeld. Er zullen dus onvermijdelijk nog bijkomende KB's volgen.
De EU nam recent een nieuwe verordening (2019/881 van 17 april 2019) aan voor een verhoogde cyberveiligheid die ook de Europese instelling ENISA, die mee waakt over cyberveiligheid, de opdracht geeft om bijkomende certificeringsnormen uit te werken. Deze zullen in de toekomst dan ook mee bepalend zijn voor de audits en certificering van systemen als cyberveilig.
Anneleen Van de Meulebroucke
anneleen.vandemeulebroucke@eubelius.com
Catherine Van de Heyning
catherine.vandeheyning@eubelius.com