Wat betekent de NIS2-wet voor lokale besturen?
De wet van 26 april 2024 ‘Wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid(opent in nieuw venster)’ (“NIS2-wet”) werd op vrijdag 17 mei gepubliceerd in het Belgisch Staatsblad.
Hiermee heeft de federale overheid de Europese NIS 2-richtlijn (Richtlijn (EU) 2022/2555) omgezet in een federale wet die op 18 oktober 2024 in werking zal treden.
Deze regelgeving kan mogelijks een impact hebben op de dagdagelijkse werking van jouw lokaal bestuur. In dit overzicht vind je de essentie van wat je moet weten over aankomende NIS2-wet.
Wat is de NIS2-wet?
Het doel van de wetgeving is om entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten beter te beveiligen tegen cyberaanvallen en ernstige verstoringen. Daarnaast moet NIS2 ook leiden tot een goede samenwerking waarbij informatie rond dreigingen en incidenten vlot kan gedeeld worden. Hier kan je meer info terugvinden over de NIS2-wet.(opent in nieuw venster)
Is de NIS2-wet van toepassing op lokale besturen?
De NIS2-wet identificeert overheidsinstanties (federale en gefedereerde overheden) als kritieke dienstverleners, alsook de sectoren energie, vervoer, bankwezen, financiële markten, gezondheid, digitale infrastructuur en ruimtevaart.
Lokale besturen, onder meer gemeenten, provincies, OCMW-verenigingen, vallen niet onder het toepassingsgebied van de NIS2-wet, als ze niet geïdentificeerd zijn als NIS2-entiteiten (essentieel of belangrijk) of ze niet ten minste één van de kritieke activiteiten uit bijlage I of II van de wet uitvoeren, zoals drinkwater, afvalbeheer of publieke ziekenhuizen, én aan de omvangvereisten voldoen. Het is hierbij niet relevant of het al dan niet om een hoofdactiviteit gaat (het is wel mogelijk dat de definities in de bijlagen dit onderscheid wel maken). Entiteiten die minder dan 50 werknemers of minder dan 10 miljoen jaaromzet hebben vallen buiten het bereik van NIS2.
Binnenkort wordt via de site van het CCB een online tool beschikbaar waarbij je als overheidsinstantie kan nagaan of de NIS2-regelgeving al dan niet van toepassing is. We houden jullie op de hoogte als deze indicatieve test beschikbaar is.
Als een lokaal bestuur een activiteit uitoefent die onder de NIS2-wetgeving valt, valt dit bestuur volledig onder NIS2, ook als het niet om een hoofdactiviteit gaat.
Bovendien kunnen ook lokale besturen die op dit moment niet rechtstreeks binnen het toepassingsgebied van NIS2 vallen, in een latere fase toch nog worden aangeduid door de nationale cyberbeveiligingsautoriteit via identificatie.
Onderstaande tabel is een vereenvoudigde versie van de twee criteria die in principe moeten worden toegepast om te begrijpen of een organisatie binnen het toepassingsgebied van de NIS2-wet valt. Via deze link(opent in nieuw venster) vind je meer informatie over het toepassingsgebied van de NIS2-wet.
| Grote entiteiten (250 VTE of meer of > 50 miljoen jaaromzet*) | Middelgrote entiteiten (50 of meer VTE of > 10 miljoen jaaromzet*) | Kleine entiteiten (< 50 VTE of < 10 miljoen jaaromzet*) |
Lokale overheden die geen andere kritieke activiteit uitvoeren (bijlage I of II). | Niet gevat | ||
Lokale overheden die een zeer kritieke activiteit uitvoeren (Bijlage I) | Essentiële entiteiten | Belangrijke entiteiten | Niet gevat |
Lokale overheden die een activiteit uitvoeren uit andere kritieke sectoren (Bijlage II) | Belangrijke entiteiten | Belangrijke entiteiten | Niet gevat |
*voor een lokaal bestuur betekent dit de som van de opbrengsten uit de werking, de andere operationele opbrengsten, de werkingssubsidies en de belastingopbrengsten. De gegevens voor de berekening van het aantal werkzame personen en van de jaaromzet hebben betrekking op het laatst afgesloten boekjaar en kan elke twee jaar worden herzien. | |||
De impact van de NIS2-wet op de organisatie
De NIS2-wet ziet digitale veiligheid als verantwoordelijkheid van de hele organisatie, niet alleen ICT. De wet legt een sterke verantwoordelijkheid bij de organisatie en organisatiebeheersing. Naast de technische aspecten van digitale veiligheid, beschrijft de wet de rol en de verantwoordelijkheid van leidinggevenden binnen de organisatie.
De eisen die de NIS2-wet oplegt, kunnen high-level worden samengevat in 4 domeinen: management, processen, risicobeheer en bedrijfscontinuïteit.
- Management: binnen NIS2 moet het management de vereisten kennen en verantwoordelijkheid opnemen om risico’s in kaart te brengen en aan te pakken. Zij moeten een cybersecurity training volgen en moeten er ook voor zorgen dat regelmatig bewustzijnscampagnes naar alle medewerkers worden gevoerd zodat er een echte cultuur van veiligheid in de organisatie ontstaat.
- Processen: informatieveiligheid is een cyclisch proces dat duidelijke regels en hulpmiddelen vraagt. NIS2 vereist dat processen rond o.a. informatieclassificatie, aanpak en rapporteren van incidenten, beveiliging van de toeleveringsketen, ontwikkelen van veilige informatiesystemen en digitale hygiëne gedefinieerd worden.
- Risicobeheer: wanneer een incident zich voordoet, is het belangrijk om ervoor te zorgen dat de impact beperkt blijft en de dienstverlening gewaarborgd blijft. Door informatie te classificeren en een goed overzicht te behouden van de risico’s kan de organisatie zich weerbaar opstellen. Het management houdt te allen tijde een vinger aan de pols en zorgt ervoor dat voldoende middelen (budget en menskracht) beschikbaar zijn.
- Bedrijfscontinuïteit: elke organisatie binnen NIS2 dient over een plan te beschikken om de continuïteit te garanderen ingeval van grote cyberaanvallen. Dat kan bijvoorbeeld door de inrichting, testen en evalueren van een incident response en disaster recovery en crisisbeheerplannen.
Verplichte significant incidentenmelding
Een ander belangrijk aspect van de NIS2-wet is dat alle organisaties elk significant cyberincident moeten melden bij het nationale CSIRT (CCB). Hierover zal binnenkort meer informatie beschikbaar zijn.
Met significant incident wordt elk incident bedoeld dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en die:
- een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
- andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
Wanneer een lokaal bestuur (die geen NIS2 entiteit is) zo’n cyberincident opmerkt, maakt deze hiervan onmiddellijk melding bij het Vlaamse Cyber Response Team en/of CCB.
Toezicht
Het eerste niveau van toezicht gebeurt op basis van een zelfevaluatie volgens de criteria die werden opgenomen in het CyberFundamentals(opent in nieuw venster) raamwerk (CyFun®) van het Centrum Cybersecurity België (CCB) of een ISO 27001 certificering. Deze conformiteitsbeoordelingen zijn verplicht voor essentiële entiteiten en facultatief voor belangrijke entiteiten.
Daarnaast kunnen essentiële organisaties te allen tijde aan toezicht worden onderworpen (ex-ante en ex-post). Bij belangrijke entiteiten gebeurt toezicht enkel achteraf, bijvoorbeeld bij een incident of bij aanwijzingen van een overtreding.
Tijdslijn
- De NIS2-wet treedt op 18 oktober 2024 in werking.
- Van zodra de wet in werking treedt, moeten alle overheidsinstanties die in het toepassingsgebied vallen voor 18 maart 2025 zich registreren bij het CCB.
- Overheidsinstanties (die essentiële of belangrijk entiteiten zijn) hebben vervolgens tot 18 april 2026 om te aligneren met het niveau belangrijk van het CyberFundamentals raamwerk.
- Overheidsinstanties (die essentiële entiteiten zijn) hebben vervolgens tot 18 april 2027 om te aligneren met het niveau essentieel van het CyberFundamentals raamwerk.
Alle andere lokale besturen moeten uiterlijk op 1 januari 2030 ten minste het niveau basis van het CyberFundamentals raamwerk behalen.
Ga nu al aan de slag
De Vlaamse overheid adviseert lokale besturen om niet af te wachten tot de wet in werking zal treden. Begin vandaag al met de cyberbeveiliging van je bestuur. De cyberrisico’s en-dreigingen zijn er nu ook al. Lokale besturen die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de NIS2-wet.
Hieronder vind je alvast meer informatie over richtlijnen, aanbevelingen en ondersteuning:
Vragen?
Heb je nog vragen over de NIS2-wet en wat dit betekent voor lokale besturen? Aarzel niet om contact op te nemen met het Vlaamse Cyber Response Team (Vo-CRT) via cyberresponse@vlaanderen.be(opent in uw e-mail applicatie).(opent in uw e-mail applicatie)