De nieuwe cyberwet, moet ik mij voorbereiden?

Uit recent onderzoek blijkt dat 71 procent van de Belgische bedrijven de afgelopen 12 maanden een cyberincident kende. Dat zijn er een pak meer dan het jaar ervoor. Niet alleen de frequentie, maar ook de impact van de aanvallen wordt steeds groter. Denk maar aan de vliegtuigonderdelenproducent Asco waar de productie dagenlang stillag, of aan de industriële bakkerij Ranson die duizenden euro’s moest betalen om opnieuw te kunnen werken. Bovendien blijken niet enkel grote ondernemingen het mikpunt te zijn, maar worden ook steeds meer middelgrote ondernemingen het slachtoffer van cyberaanvallen.

De Europese Unie vaardigde daarom een richtlijn uit waarbij heel wat ondernemingen voortaan verplicht worden om zich te beveiligen tegen cyberaanvallen. Deze richtlijn werd in België omgezet in de NIS-wet of Cybersecuritywet en is de eerste wet in ons land die bedrijven verplicht om zich te beschermen tegen mogelijke cyberaanvallen. 

Bedrijven die de wetgeving niet naleven kunnen zowel administratieve als strafrechtelijke boetes opgelegd krijgen. De boetes kunnen oplopen tot 50.000 euro (te vermenigvuldigen met 8) of een gevangenisstraf tot een jaar. Er zijn ook administratieve sancties mogelijk tot 200.000 euro.

Is de wet van toepassing op mijn onderneming?

De NIS-wet is enerzijds van toepassing op bedrijven die essentiële diensten aanbieden in specifieke sectoren zoals onder andere transport, financiën, gezondheidszorg en energie. Deze bedrijven zullen expliciet aangeduid worden door de sectorale overheid. Anderzijds vallen ook bepaalde digitale dienstverleners onder de wetgeving. In tegenstelling tot de aanbieders van essentiële diensten worden de digitale dienstverleners niet expliciet aangeduid. Aanbieders van digitale diensten moeten zelf onderzoeken of ze al dan niet onder de wet vallen. Concreet gaat het om volgende digitale diensten:

• Online marktplaatsen: aanbieders van platformen waar kopers en verkopers van een product of dienst worden samengebracht, zoals Amazon of eBay, vallen onder de NIS-wet. Websites die prijzen vergelijken of de webshop van een retailer vallen hier niet onder. 
• Online zoekmachines: een dienst waar de gebruiker een zoekopdracht kan ingeven over elk mogelijk onderwerp en waarbij gezocht wordt over elke website, zoals Google, vallen onder de NIS-wet. Het gaat niet over zoekfuncties die aanwezig zijn om een website.
• Cloudcomputerdiensten: aanbieders van diensten die toegang geven tot een schaalbare en elastische groep van gedeelde computercapaciteit vallen onder de NIS-wet. Denk hierbij aan aanbieders van Infrastructure-as-a-Service (IaaS), Platform-as-a-service (PaaS), maar ook Software-as-a-Service (SaaS). Hardware-leveranciers en softwareontwikkelaars worden dan weer uitdrukkelijk uitgesloten van deze wetgeving.

Wat zijn de gevolgen? 

Bent u volgens de NIS-wetgeving een digitale dienstverlener? Dan moet u een aantal technische en organisatorische maatregelen nemen. Wij zetten ze kort op een rij.
Stel een Data Protection Officer (DPO) aan
Elke digitale dienstverlener die onder het toepassingsgebied van de NIS-wetgeving valt, dient een DPO aan te stellen. Er wordt hier een link gelegd met de GDPR-wetgeving. Daar waar de GDPR een focus legt op de bescherming van persoonsgegevens, legt de NIS de focus op de beveiliging van systemen, infrastructuur en gegevens in het algemeen. 

Meld incidenten zo snel mogelijk en neem beveiligingsmaatregelen
Indien uw onderneming gezien wordt als een middelgrote onderneming volgens de Europese KMO-definitie, moet u een aantal specifieke beveiligingsmaatregelen nemen. Het gaat hierbij onder andere om de fysieke beveiliging van uw data en informatiesystemen, systematische controles op de beveiliging en het zorgen voor een toegangscontrole. De te nemen beveiligingsmaatregelen werden vastgelegd in een Verordening van de Europese Unie.

Daarnaast bent u als middelgrote onderneming verplicht om incidenten te melden wanneer die aanzienlijke gevolgen hebben voor de dienstverlening. Ook hier wordt een link gelegd met de GDPR-wetgeving. Waar de meldplicht onder GDPR beperkt blijft tot incidenten met persoonsgegevens, gaat het bij de NIS-wetgeving over alle incidenten die de dienstverlening ernstig in het gedrang brengen. 

Vraagt u zich af of de NIS-wetgeving op uw onderneming van toepassing is? Wenst u begeleiding om op een pragmatische manier te voldoen aan de NIS-wetgeving? Contacteer onze specialisten via cyber@vdl.be of neem contact op met onze partner clipeum via frederik.vervoort@clipeum.be.