Infosessie NIS2-wet voor lokale besturen

Nee, het lokaal bestuur is dan niet verplicht om significante incidenten te melden. Lokale besturen die niet onder de NIS2-wet vallen, kunnen zich alsnog registreren bij het CCB om extra informatie krijgen.

Nee, er zijn voorlopig geen eenduidige criteria. Dit moet case by case worden beoordeeld door de certificatieautoriteit van het federale Centre Cybersecurity Belgium (CCB). Het CCB hanteert een zeer strikte scheiding.

Indien de organisatie een activiteit uitvoert die vermeld wordt in de bijlagen, valt in principe de volledige organisatie onder het toepassingsgebied van de NIS2-wet. Hiervoor wordt gekeken naar de juridische entiteit. Echter, NIS2 voorziet wel een uitzondering wanneer je je kan aantonen dat je in een afzonderlijke informatienetwerk opereert. Het gaat hier in ieder geval om een zeer strikte scheiding.

In de context van het lokaal bestuur moet omzet worden geïnterpreteerd als de operationele ontvangsten. Dit zijn de ontvangsten uit de werking, belastingen, werkingssubsidies (waaronder het gemeentefonds en de federale tussenkomst voor leefloon). Financiële ontvangsten zoals rentes en dividenden worden in principe niet meegerekend.

Indien verschillende stadsdiensten of organisaties van éénzelfde IT-omgeving gebruik maken - zonder segmentatie - dan worden deze als één entiteit beschouwd indien zij ook over dezelfde rechtspersoon zitten.

Ja, maar dat neemt natuurlijk niet weg dat een lokaal bestuur ongeacht of deze niet valt onder het toepassingsgebied, moet inzetten op maatregelen om de cyberweerbaarheid van de organisatie te verhogen.

(IGS = intergemeentelijke samenwerkingsverbanden / EVA = extern verzelfstandigde agentschappen)

Volgens de bijlagen valt een woonzorgcentrum wel degelijk onder het toepassingsgebied als deze ook voldoet aan de omvangvereisten. Er wordt altijd rekening gehouden met de omvangvereisten op niveau van juridische entiteit. Indien een woonzorgcentrum deel uitmaakt van eenzelfde juridisch rechtspersoon, dan wordt de omvang van het lokaal bestuur ook in aanmerking genomen voor de berekening. Bij een apart juridisch rechtspersoon is dit niet het geval. Het kan wel zijn dat op basis van de risicoanalyse, een woonzorgcentrum niet per se moet behoren tot het niveau ‘essentieel’.

Indien er medicatie voorgeschreven wordt en/of er medisch personeel tewerkgesteld is en er wordt voldaan aan de omvangvereisten, zal deze ook onder het toepassingsgebied vallen.

Op dit moment is hier geen overzicht van. Er is een mogelijkheid dat dit in de nabije toekomst ter beschikking wordt gesteld. Daarnaast is er de definitie van zorgaanbieders in de EU-richtlijn die stelt dat een rechtspersoon die gezondheidszorg verstrekt in aanmerking komt.

Hiervoor moet worden nagegaan of er sprake is van business-to-business activiteiten en in hoeverre actieve ondersteuning wordt geboden. De term “business-to-business” in bijlage I van de NIS2-wet moet worden opgevat als een verwijzing naar alle relaties tussen dienstverleners en andere organisaties/professionals (bedrijven, overheden, ambachtslieden, vrije beroepen, verenigingen enz. Het feit dat een entiteit geen winstoogmerk heeft of niet commercieel is, lijkt geen criterium te zijn om een entiteit van deze sector uit te sluiten.

Dit omvat dus ook alle diensten die door een publieke entiteit worden verleend aan overheidsdiensten, publiekrechtelijke bedrijven of andere publiekrechtelijke rechtspersonen (zelfs op aanvullende basis).

Het doel van de NIS2-richtlijn is om bescherming tegen cyberbeveiliging te bieden aan entiteiten die ten minste één dienst leveren die als kritiek wordt beschouwd voor economische of maatschappelijke activiteiten binnen de Europese Unie (ongeacht of de entiteit publiek of privaat is - zie art. 3, §1 van de NIS2-wet “deze wet is van toepassing op publieke of private entiteiten van een type als bedoeld in bijlage I of II”).

Indien er geen actieve ondersteuning (bijstand o actieve administratie bij de klanten ter plaatse of op afstand) wordt geboden, zoals het installatie, beheer, exploitatie en onderhoud van producten en netwerken, dan valt de organisatie niet in scope van de NIS2-wet als leverancier van beheerde ICT-diensten.

Nee, het gaat in deze over het delen van kosten voor een gezamenlijke aanwerving. In dit geval, valt geen van de partijen in het toepassingsgebied van de NIS2 als dienstenleverancier.

Het lokaal bestuur houdt steeds de eindverantwoordelijkheid. Hoe een organisatie aan de NIS2-verplichtingen voldoet is een eigen keuze, maar juridisch gezien kan je geen verantwoordelijkheid overdragen aan een derde partij.

Bij de definitie van de sector afvalstoffenbeheer wordt een uitzondering gemaakt voor organisaties waarvan afvalstoffenbeheer niet de hoofdactiviteit is. Voor steden en gemeenten is afvalstoffenbeheer niet de voornaamste economische activiteit. Voor afvalintercommunales die in opdracht van lokale besturen instaan voor het afvalbeheer is dit wel de hoofdactiviteit.

• Hoofdactiviteit = voornaamste economische activiteit.

Bij de definitie van de sector afvalwater wordt een uitzondering gemaakt voor organisaties waarvan het beheer van stedelijk, huishoudelijk of industrieel afvalwater niet de hoofdactiviteit is. Voor steden en gemeenten is het beheer van afvalwater (bv. beheer en onderhoud riolering) niet als hoofdactiviteit. Voor intercommunales die in opdracht van lokale besturen instaan voor het beheer van afvalwater is dit wel de hoofdactiviteit.

• Hoofdactiviteit = voornaamste economische activiteit.

Het is mogelijk dat webshops hier onder vallen. Er dient in casu na te gaan of men onder deze definitie valt. Daarnaast dient men (zoals steeds) rekening te houden met de andere vereisten zoals de size-cap om onder de NIS2-wetgeving te vallen.

Entiteiten die niet onder de NIS2- wet vallen zijn niet verplicht significante incidenten te melden. Het is wel mogelijk om vrijwillig incidenten te melden. Er is ook een gids voor incident meldingen beschikbaar op de website van het CCB. Meer informatie hierover vind je op de website van het CCB(opent in nieuw venster).

De verantwoordelijkheid blijft bij het lokaal bestuur, verantwoordelijkheden kunnen juridisch gezien niet doorgeschreven worden.

Het is niet verplicht maar wel sterk aangeraden omdat het een volledig beeld geeft van de verplichtingen onder NIS2, maar ook andere wetgevingen zoals de GDPR en KSZ. CyFun en ICR zijn dan ook compatibel.

Wel is het belangrijk om ook als lokaal bestuur na te gaan of je onder een sector in de bijlagen van de NIS2 wetgeving valt.

Een gedetailleerde beschrijving van hoe de omvang te berekenen is terug te vinden in de FAQ van het CCB. Het aantal bewoners is geen criterium dat in rekening wordt gebracht.

Indien er geen medische handelingen worden uitgevoerd, vallen deze niet onder de sector gezondheidszorg. De sector “gezondheidszorg” omvat de dienst “Zorgaanbieders zoals gedefinieerd in artikel 3, punt g), van Richtlijn 2011/24/EU van het Europees Parlement en de Raad”: Een natuurlijk of rechtspersoon of een andere instantie die op het grondgebied van een lidstaat wettelijk gezondheidszorg (*) verstrekt.

(*) gezondheidsdiensten die door gezondheidswerkers aan patiënten worden verstrekt om de gezondheidstoestand van deze laatsten te beoordelen, te behouden of te herstellen, waaronder begrepen het voorschrijven en het verstrekken van geneesmiddelen en medische hulpmiddelen.

Er dient dus steeds te worden nagegaan of er medische handelingen gesteld worden in de instanties. Instanties waar medische handelingen worden gesteld worden zijn bijvoorbeeld : woonzorgcentra, revalidatiecentra, thuisverpleging, Centra voor geestelijke gezondheidszorg, Centra voor preventieve gezondheidszorg … Dit is bijvoorbeeld niet het geval voor kinderopvang.

Aanbieders van beheerde diensten worden gedefinieerd als: Een entiteit die diensten verleent die verband houden met de installatie, het beheer, de exploitatie of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via bijstand of actieve administratie bij de consument ter plaatse of op afstand;

Dit omvat bijvoorbeeld ook een onderhoudsdienst voor de netwerken van een klant en andere activiteiten die op het terrein van de klant worden uitgevoerd. Het is dus mogelijk dat dit tussen lokale besturen ook onder de B2B-relatie valt. Dit dient case-by-case bekeken te worden.

De hulpverleningszones in de zin van artikel 14 van de wet van 15 mei 2007 betreffende de civiele veiligheid of de Brusselse Hoofdstedelijke Dienst voor Brandweer en Dringende Medische Hulpopgericht door de ordonnantie van 19 juli 1990 houdende oprichting van de Brusselse Hoofdstedelijke Dienst voor Brandweer en Dringende Medische Hulp zijn opgenomen in de sector Overheid.

Indien de voorgenoemde organisaties zich geregistreerd hebben als afzonderlijke entiteiten, dienen zij hun melding ook afzonderlijk te doen. Echter, de Vlaamse overheid bekijkt in welke mate het mogelijk is om een groepsmelding te doen.

Het Centrum voor Cybersecurity België (CCB) heeft verschillende webpagina’s, artikelen en infografieken gepubliceerd met gedetailleerde informatie(opent in nieuw venster) en het bijbehorende koninklijk besluit(opent in nieuw venster). Deze omvatten onder andere informatie over het toepassingsgebied, de verplichtingen, het toezicht en de sancties.

Deze verschillende materialen zijn beschikbaar via de volgende links:

• De NIS2-pagina op Safeonweb@Work(opent in nieuw venster) (toepassingsgebied, scoping tool voor het testen van het toepassingsgebied, verplichtingen, toezicht, sancties, tijdlijn)
• De NIS2 snelstartgids(opent in nieuw venster) (voldoen aan NIS2 in 7 stappen)
• De NIS2-pagina op de CCB-website(opent in nieuw venster) (NIS1-informatie, FAQ, brochure)
• De NIS2 registratiegids(opent in nieuw venster)

Het CCB kan enkel nuttige informatie verschaffen en eventueel specifieke vragen beantwoorden die kunnen opkomen bij het bestuderen van de NIS2-wet of het bijbehorende koninklijk besluit. Elke entiteit is zelf verantwoordelijk voor de concrete en gedetailleerde analyse op basis van hun eigen specifieke situatie om te bepalen of ze al dan niet binnen het toepassingsgebied van NIS2 valt. Het is ook belangrijk om op te merken dat de antwoorden die het CCB in deze context geeft, geen afbreuk doen aan de analyses en beslissingen van de bevoegde inspectiedienst in het kader van het toezicht.

Een eenduidige definitie formuleren is moeilijk. Het CCB zal dit case per case bekijken en beoordelen. Er dient sprake te zijn van een volledige strikte afscheiding.

Lokale besturen die diensten van de federale overheid aanbieden, worden gezien als leveranciers van de federale overheid. Aangezien de federale overheid een NIS2 entiteit is (‘essentiele’ entiteit), heeft zij supply chain verplichtingen en zal zij moeten bepalen aan welke NIS2-vereisten haar leveranciers moeten voldoen. Er dient natuurlijk ook steeds te worden nagegaan of de lokale overheid zelf geen activiteiten uitoefent in de bijlagen van de NIS2-wet en voldoet aan de size-cap en bijgevolg zelf een NIS2-entiteit uitmaakt.

Ter info: dit zijn attributen van een digitale wallet in de context van de eIDAS2 regelgeving, waarvoor in de toekomst wel specifieke vereisten zullen opgelegd worden door de NIS2 entiteit die de Digital Wallet beheerst (via de eIDAS regelgeving. Het is echter nog te vroeg om hier duidelijkheid in te kunnen scheppen. De implementing regulations worden hieromtrent nog opgemaakt.

Indien je geïdentificeerd bent wordt je gecontacteerd, maar een dergelijk lijst zal er niet zijn.

Sommige van de Europese definities in de NIS2-richtlijn hebben een brede reikwijdte. Het is daardoor mogelijk dat sommige grote organisatie (afhankelijk van hun omvang) onder de Belgische NIS2- vallen (bv. Woonzorgcentra, rusthuizen, sommige fabrikanten of distributeurs van chemische producten, bedrijven die zonnepanelen voor eigen gebruik hebben), ook al kunnen hun activiteiten als minder kritische activiteiten beschouwd worden.

Deze kwestie is ook gerezen op Europees niveau, en er is met de Europese Commissie overeengekomen dat lidstaten een lichtere aanpak kunnen hanteren voor deze entiteiten.

In België moeten deze entiteiten zich registeren, significante incidenten melden en beveiligingsmaatregelen toepassen.

Als ze echter geen andere ‘kritieke’ activiteiten uit de bijlagen van de NIS2-wet uitoefenen, kunnen ze hun cyberbeveiligingsmaatregelen beperken tot het CyberFundamentals niveau Basic. Dit betekent dat ze hun NIS2 kwalificatie/niveau blijven behouden (met alle eraan verbonden verplichtingen), maar dat de te nemen maatregelen deze van het niveau basis als proportioneel beschouwd wordt.

Er dient dus per entiteit te worden nagegaan of ze geen andere activiteiten uit de bijlagen uitoefenen. Indien dit het geval is, dan geldt volgende overeenkomstige niveaus in het CyberFundamentals Framework.

Voor belangrijke entiteiten wordt alleen ex post toezicht uitgevoerd door de inspectiedienst. Deze entiteiten kunnen wel vrijwillig gebruik maken van een periodieke conformiteitsbeoordeling.

het is belangrijk om een onderscheid te maken tussen NIS2 kwalificatie (belangrijke/essentiële entiteit) en het bijhorende Cyberfundamentals level.

Hier kan geen sluitend antwoord op gegeven worden. Dit dient per casu bekeken te worden. Het volgende kan beredeneerd worden.

Allereerst, door de band vallen de algemeen directeur en het ambtelijk apparaat buiten het toepassingsgebied. De bestuursorganen van een lokaal bestuur zijn namelijk de samengestelde organen (de gemeenteraad, CBS en burgemeester en voor de gemeente en de raad voor maatschappelijk welzijn, het vast bureau en het Bijzonder Comité voor de sociale dienst.

Wat de ‘leden van de bestuursorganen’ betreft, bepaalt de memorie, dat die ruim geïnterpreteerd moeten worden: zowel de rechtspersoon in kwestie als elk lid van een bestuursorgaan van die rechtspersoon. Dit houdt in dat het bestuursorgaan niet alleen collectief geïnterpreteerd wordt, maar ook alle leden afzonderlijk geviseerd zijn. Als het bijvoorbeeld gaat om het college van burgemeester en schepenen (CBS), kunnen dus niet alleen het college maar ook de burgemeester en de schepenen afzonderlijk aansprakelijk gesteld worden als lid van het CBS. Uit art. 31 valt af te leiden dat de verantwoordelijkheid bij de ‘leden van bestuursorganen’ enkel gaat om het volgen van een opleiding.

Daarbij wordt meteen ook bepaald dat geen afbreuk wordt gedaan aan de aansprakelijkheidsregels die gelden voor verkozen of benoemde mandatarissen. De aansprakelijkheid van de uitvoerende mandatarissen (leden van het CBS of van het Vast Bureau en de voorzitter van het BCSD) wordt in artikel 157 DLB geregeld. Voor de raadsleden wordt dit geregeld in artikel 17, §5, DLB. Uit dat artikel volgt dat een burgemeester, schepen of voorzitter van het bijzonder comité voor de sociale dienst, enkel aansprakelijk is voor zijn bedrog of zijn zware schuld. Voor lichte schuld zijn deze mandatarissen enkel burgerrechtelijk aansprakelijk als die bij hen eerder gewoonlijk dan toevallig voorkomen.

Uit dat artikel volgt dat een burgemeester, schepen of voorzitter van het bijzonder comité voor de sociale dienst, enkel aansprakelijk is voor zijn bedrog of zijn zware schuld. Deze burgerrechtelijke aansprakelijkheid is gebaseerd op artikel 6.5 en volgende van het Burgerlijk Wetboek:

“Dit maakt dat er bijgevolg sprake moet zijn van fout, schade en oorzakelijk verband tussen de fout en de schade.” Het is de burgerlijke rechtbank die beoordeelt of er effectief sprake is van een burgerrechtelijke aansprakelijkheid.

Net zoals art. 31 stelt art. 61 dat niet enkel de bestuursorganen aansprakelijk worden gesteld, maar ook de natuurlijke personen.

Hiervoor verwijzen we naar de bedenkingen die hierboven al meegedeeld zijn. Dezelfde redenering geldt.

Tot slot, wat betreft de CISO kan worden gesteld dat deze over een adviserende of controlerende functie uitoefent in de organisatie. De CISO is geen bestuurder. In het Decreet Lokaal Bestuur zijn er geen specifieke verantwoordelijkheden voor de CISO vermeld. De CISO heeft niet de bevoegdheid om het lokaal bestuur in rechte te vertegenwoordigen, noch om namens het lokaal bestuur beslissingen te nemen, noch om er controle op uit te oefenen.

Om als elektriciteitsproducent onder NIS2 te vallen, dient u de organisatie te zijn die het elektriciteit daadwerkelijk produceert. Het simpelweg ter beschikking stellen van een plaats om zonnepanelen te installeren is niet genoeg om als producent beschouwd te worden en onder de wet te vallen. Als de zonnepanelen eigendom zijn van andere organisaties waarbij deze organisaties ze gebruiken om elektriciteit te produceren, dan kunnen deze organisaties in het toepassingsgebied vallen als ze ook aan het groottecriterium voldoen. Alleen organisaties die onder de NIS2-wet vallen, hoeven zich te registreren.

Opgemerkt moet worden dat de NIS2-wet van toepassing is op het niveau van de organisatie en niet op het niveau van de individuele installaties. Zodra een organisatie een dienst verleent die onder de bijlagen van de NIS2-wet valt en aan het omvangscriterium voldoet, valt zij binnen het toepassingsgebied.

Het CCB bepaalt dat voor entiteiten die onder de definitie van een dienst in de energiesector vallen, enkel omdat ze elektriciteit produceren voor hun eigen verbruik, hun NIS2-classificatie zou blijven bestaan, maar dat het toezicht minder streng zou zijn. In de praktijk betekent dit dat zij zich nog steeds moeten registreren en significante incidenten melden, maar dat het CCB vanuit toezichtsoogpunt begripvol zal zijn indien een lager niveau van het CyFun framework wordt gehanteerd voor hun cyberveiligheidsmaatregelen. Dit zou in verhouding staan tot de beperkte maatschappelijke impact van een incident voor dergelijke organisaties en zou een mogelijke toepassing zijn van het proportionaliteitsprincipe dat in de wet is opgenomen.