Gedaan met laden. U bevindt zich op: Nieuwe wetgeving NIS2: Wat lokale besturen moeten weten Cyber Response Team - Lokaal bestuur

Nieuwe wetgeving NIS2: Wat lokale besturen moeten weten

Blogbericht
29 februari 2024

Op 27 december 2022 heeft de Europese Commissie een nieuwe richtlijn gepubliceerd om het gemeenschappelijk niveau van cyberbeveiliging in de EU te verhogen. 

Deze Europese NIS2-richtlijn (Richtlijn (EU) 2022/2555) heeft als doel om organisaties, die belangrijke diensten verlenen voor de samenleving en de economie, beter te beveiligen tegen cyberaanvallen en ernstige verstoringen.

Deze richtlijn legt:

  • verplichtingen vast met betrekking tot het nationaal cyberbeveiligingsbeleid.

  • bepaalde entiteiten eisen op met betrekking tot het beheer van cyberbeveiligingsrisico’s en de melding van incidenten.

Verder worden er concrete veiligheidsmaatregelen opgelegd, die de organisaties moeten nemen om risico’s beter te beheersen en incidenten sneller te melden.

De federale overheid heeft intussen een wetsontwerp voorbereid, waarin de Europese richtlijn wordt omgezet in een federale wet.

De Belgische regelgeving dient op 17 oktober omgezet zijn.

Is de NIS2-wet van toepassing op lokale besturen?

Het wetsontwerp bepaalt dat publieke of private organisaties onder de NIS2-wetgeving vallen wanneer hun activiteit als kritiek wordt beschouwd voor het algemeen belang of de economie.

Het wetsontwerp identificeert als belangrijke publieke overheidsorganisaties de federale en gefedereerde overheidsinstanties.

Lokale besturen (bv. gemeenten, provincies, intercommunales, OCMW-verenigingen, ...) zijn in principe niet onderworpen aan de NIS2-wet, omdat zij geen federale of gefedereerde entiteiten zijn.

Toch is hier enige nuancering nodig: wanneer een lokaal bestuur één van de kritieke activiteiten uitoefent, zoals beschreven in de bijlages 1 en 2 van het wetsontwerp én wanneer het bijkomend voldoet aan de omvangvereisten van de sector, valt de organisatie alsnog onder het toepassingsgebied van NIS 2. Beide voorwaarden moeten dus cumulatief vervuld zijn.

Deze omvangvereisten zijn (behoudens uitzondering voor bepaalde sectoren):

  • minstens 50 VTE’s in dienst hebben

of

  • meer dan 10 miljoen jaaromzet presteren

Voor een lokaal bestuur betekent dit concreet de som van:

  • de opbrengsten uit de werking.

  • de andere operationele opbrengsten.

  • de werkingssubsidies en de belastingopbrengsten.

De gegevens voor de berekening van het aantal werkzame personen en van de jaaromzet hebben betrekking op het laatst afgesloten boekjaar en worden jaarlijks berekend.

Lokale besturen van een bepaalde omvang kunnen dus wel onder de NIS2-wet vallen wanneer ze hoofdzakelijk een kritieke activiteit, zoals bv. publieke ziekenhuizen, distributie van drinkwater, afvalbeheer, … uitvoeren.

Bepaalde autonome gemeentebedrijven, intergemeentelijke samenwerkingsverbanden, verenigingen of vennootschappen voor maatschappelijk welzijn kunnen dus onder het toepassingsgebied van de richtlijn vallen.

De lokale besturen kunnen ook worden aangeduid door de nationale cyberbeveiligingsautoriteit (via identificatie).

Het initiatief voor dergelijke identificatie kan worden genomen, eventueel op vraag van de betrokken entiteit, door de nationale cyberbeveiligingsautoriteit, een gewest of het Nationaal Crisiscentrum (NCCN).

Maatregelen

Alle organisaties die in het toepassingsgebied van NIS2 vallen, zullen een inschatting moeten maken van het mogelijke risico op incidenten en de gevolgen ervan in het geval er effectief een cyberaanval zou plaatsvinden. Op basis hiervan behoort een organisatie tot ‘essentiële’ of ‘belangrijke’ entiteiten.

Het lokaal bestuur dat binnen het toepassingsgebied valt heeft drie hoofdverplichtingen:

  • Het bestuur moet zich voor eind maart 2025 bij het CCB registreren als NIS2-entiteit en informatie verstrekken over haar activiteiten.

  • Het bestuur moet geschikte en proportionele risicobeheersmaatregelen op het gebied van cyberbeveiliging nemen.

  • Het bestuur moet cyberincidenten melden aan het Vo-CRT en het CERT.

De risicobeheersmaatregelen gaan over het beschikken over plannen voor incidentenbeheer, activiteitencontinuïteitsplannen en crisisbeheersplannen, beleidsmaatregelen en procedures om de doeltreffendheid van deze maatregelen te beoordelen, alsook beleidsmaatregelen inzake:

  • het gebruik van cryptografie

  • de beveiliging van personeel

  • het gebruik van passende authenticatiesystemen

  • het beheer van bevoorradingsketen

De bestuursorganen van de besturen zullen al deze maatregelen uitdrukkelijk moeten goedkeuren, toezien op de uitvoering en een basisopleiding cyberbeveiliging volgen.

Het toezicht gebeurt op basis van een zelfevaluatie volgens de criteria die werden opgenomen in het CyberFundamentals(opent in nieuw venster) raamwerk (CyFun®) van het CCB of een ISO 27001 certificering. Deze controles zijn verplicht voor essentiële entiteiten en facultatief voor belangrijke entiteiten. Indien van toepassing, bijvoorbeeld bij het optreden van cyberincidenten, kunnen ook inspecties worden uitgevoerd.

Tijdlijn

De wet zal op 18 oktober 2024 in werking treden.

Van zodra de wet in werking treedt, krijgen alle organisaties die in het toepassingsgebied vallen tot eind maart 2025 om zich te registreren bij het CCB.

Die organisaties hebben vervolgens tot eind november 2025 om te aligneren met het niveau basis van het CyberFundamentals(opent in nieuw venster) raamwerk (CyFun®).

Tegen april 2027 moeten entiteiten gealigneerd zijn met hun finale niveau.

Hoe kan de Vlaamse overheid ondersteunen?

Om lokale besturen te ondersteunen in het nemen van de gepaste maatregelen, onderzoekt de Vlaamse overheid op dit moment de mogelijkheden m.b.t. een Vlaams beleidskader met een duidelijke ambitie en minimale vereisten op vlak van cyberveiligheid waar lokale besturen in de toekomst aan zullen moeten voldoen.

Deze minimale vereisten moeten lokale besturen in staat stellen:

  • om hun gegevens beter te beschermen.

  • het risico op cyberincidenten aanzienlijk te verminderen.

  • zich klaar te stomen ingeval ze in een latere fase alsnog worden geïdentificeerd.

In het kader daarvan, wordt ook onderzocht hoe een gecoördineerd ondersteuningsaanbod met effectieve instrumenten er moet uitzien om lokale besturen te coachen, begeleiden of te ontzorgen in het behalen van deze minimale vereisten.

Vragen?

Hebt u nog vragen over de NIS2-richtlijn en wat dit betekent voor lokale besturen? Aarzel niet om contact op te nemen met het Vlaamse Cyber Response Team via cyberresponse@vlaanderen.be(opent in uw e-mail applicatie)