De nieuwe Network and Information Security directive (NIS2-richtlijn) werd gepubliceerd door de Europese Commissie in december 2022. Het doel van de NIS2-richtlijn is een betere beveiliging tegen cyberaanvallen en ernstige incidenten van aanbieders van essentiële diensten voor de samenleving en economie, en het verhogen van de digitale en economische weerbaarheid van elke lidstaat.
Er zijn nieuwe verplichtingen met betrekking tot het nationaal cyberveiligheidsbeleid en van bepaalde entiteiten wordt verwacht dat ze specifieke maatregelen invoeren om cyberveiligheidsrisico’s beter te beheersen en incidenten sneller melden. Het Federaal Parlement keurde op 18 april de nationale wet goed.
Is de NIS2-wet van toepassing op lokale besturen?
De VVSG verzocht dat de NIS2-wet niet van toepassing zou zijn op lokale overheden. Momenteel pleiten we bij de Vlaamse overheid voor gezamenlijke oplossingen en een praktisch ondersteuningsaanbod om de cyberveiligheid bij lokale besturen te verbeteren. Zonder een duidelijke strategie om dit te bereiken, drong de VVSG erop aan om geen verplichtingen op te leggen aan individuele lokale besturen. In plaats daarvan ondersteunt de VVSG een stapsgewijze aanpak van het invoeren van maatregelen, samen met een helder kader waar aan voldaan moet worden. We verzoeken de Vlaamse overheid om een roadmap met haalbare doelstellingen, zodat alle lokale besturen geleidelijk aan bepaalde cyberveiligheidsnormen kunnen bereiken.
De Belgische wet bepaalt dat publieke of private organisaties onder de NIS2-wetgeving vallen wanneer ze een kritieke activiteit uitoefenen voor het algemeen belang of de economie. De wet identificeert de federale en gefedereerde overheidsinstanties als belangrijke publieke overheidsorganisaties, dus niet de lokale overheden. Lokale besturen, bijv. gemeenten, provincies, intercommunales, of OCMW-verenigingen, zijn in principe niet onderworpen aan de NIS2-wet. Er zijn echter uitzonderingen en nuances.
Wanneer een lokaal bestuur één van de kritieke activiteiten uitoefent, zoals beschreven in de bijlages 1 en 2 van het wetsontwerp én wanneer het bijkomend voldoet aan de omvangvereisten van de sector, valt de organisatie alsnog onder het toepassingsgebied van NIS 2. Beide voorwaarden moeten cumulatief vervuld zijn.
Deze omvangvereisten zijn (behoudens uitzondering voor bepaalde sectoren):
- minstens 50 VTE’s in dienst hebben of
- meer dan 10 miljoen jaaromzet presteren.
Voor een lokaal bestuur betekent dit concreet de som van de opbrengsten uit de werking, de andere operationele opbrengsten, de werkingssubsidies en de belastingopbrengsten. De gegevens voor de berekening van het aantal werkzame personen en van de jaaromzet hebben betrekking op het laatst afgesloten boekjaar en worden jaarlijks berekend.
Daarnaast is het de interpretatie van de VVSG, na contacten met het CCB, dat hulpverleningszones wel gevat zijn onder de richtlijn en politiezones niet.
Wat betekent dat voor steden en gemeenten?
Gemeentebesturen zijn niet sectoraal gevat door de wet, omdat de kritieke activiteiten beschreven in de bijlagen een niet-essentieel deel zijn van hun algemene werking. De VVSG is tevreden dat deze conclusie overeenstemt met wat in het standpunt over NIS2 gevraagd is.
Sommige lokale besturen van een bepaalde omvang vallen mogelijks wel onder de NIS2-wet wanneer ze hoofdzakelijk een kritieke activiteit, zoals bijv. publieke ziekenhuizen, distributie van drinkwater, of afvalbeheer uitvoeren. In dat geval denken we aan bepaalde autonome gemeentebedrijven, intergemeentelijke samenwerkingsverbanden, verenigingen of vennootschappen voor maatschappelijk welzijn.
De nationale cyberbeveiligingsautoriteit, het CCB, is daarnaast bevoegd om lokale besturen aan te duiden via identificatie, op initiatief van het CCB zelf, de betrokken entiteit, een gewest of het Nationaal Crisiscentrum. Een volledige uitsluiting van de NIS2-richtlijn tijdens de komende jaren is dus niet zeker.
Alle organisaties die in het toepassingsgebied van NIS2 vallen, zullen een inschatting moeten maken van de risico’s op incidenten en de gevolgen van een cyberaanval. Op basis daarvan behoort een organisatie tot ‘essentiële’ of ‘belangrijke’ entiteiten. Het lokaal bestuur dat binnen het toepassingsgebied valt, heeft drie hoofdverplichtingen:
- Het bestuur moet zich voor eind maart 2025 bij het CCB registreren als NIS2-entiteit en informatie verstrekken over haar activiteiten.
- Het bestuur moet geschikte en proportionele risicobeheersmaatregelen op het gebied van cyberbeveiliging nemen.
- Het bestuur moet cyberincidenten melden aan het Vo-CRT en het CERT.
Risicobeheersmaatregelen en toezicht?
Met risicobeheersmaatregelen bedoelt het CCB het beschikken over volgende documenten en maatregelen:
- Plan voor incidentenbeheer
- Een bedrijfscontinuïteitsplan
- Crisisbeheersplannen
- Beleidsmaatregelen en procedures om de doeltreffendheid van deze maatregelen te beoordelen
- Beleidsmaatregelen inzake het gebruik van cryptografie, de beveiliging van personeel, het gebruik van passende authenticatiesystemen en het beheer van bevoorradingsketen
De bestuursorganen van de besturen zullen al deze maatregelen uitdrukkelijk moeten goedkeuren, toezien op de uitvoering ervan en een basisopleiding cyberbeveiliging volgen.
Het toezicht gebeurt op basis van een zelfevaluatie volgens de criteria die werden opgenomen in het CyberFundamentals Framework (CyFun®) van het CCB of een ISO 27001 certificering. Deze controles zijn verplicht voor essentiële entiteiten en facultatief voor belangrijke entiteiten. Indien van toepassing, bijv. bij het optreden van cyberincidenten, kunnen ook inspecties worden uitgevoerd.
De wet zal op 18 oktober 2024 in werking treden. Van zodra de wet in werking treedt, krijgen alle organisaties die in het toepassingsgebied vallen tot eind maart 2025 om zich te registreren bij het CCB. Die organisaties hebben vervolgens tot eind november 2025 om te aligneren met het niveau basis van het CyFun®. Tegen april 2027 moeten entiteiten hun finale niveau halen.