Auteur: Charlotte De Mullier
Gepubliceerd op: 18-10-2024
Vanaf 18 oktober is de Belgische NIS2-wet van kracht. Deze richtlijn rond cyberveiligheid, de Network and Information Security Directive, legt strengere eisen op aan meer sectoren. Organisaties moeten maatregelen nemen om hun digitale weerbaarheid te verhogen. Wie onder de wet valt, begint met een interne risicoanalyse en moet zich uiterlijk op 18 maart 2025 registreren bij het Centrum voor Cybersecurity België (CCB).
Lokale besturen vallen in principe niet onder de NIS2-wet, tenzij ze actief zijn in kritieke sectoren. De uitzonderingen staan opgesomd in bijlages bij de wet. Hier volgt een lijst met veelvoorkomende diensten binnen lokale besturen, maar deze is niet volledig. Twijfel je? Gebruik de scoping tool van het CCB of stuur je vraag naar NIS2@vlaanderen.be.
Gezondheidszorg
Gemeenten of OCMW's die een woonzorgcentrum of ziekenhuis beheren en meer dan 50 medewerkers tellen, of een omzet/balanstotaal van meer dan €10 miljoen hebben, vallen onder de NIS2-wet. Zij moeten zich dus voor 18 maart 2025 registreren. Bij de registratie bepaalt het OCMW of het een belangrijke of essentiële entiteit is, afhankelijk van de grootte.
Volgens het CCB hoeven OCMW's die enkel een woonzorgcentrum beheren, en geen andere diensten uit de bijlagen van de wet aanbieden, alleen het basisniveau van het Cyber Fundamentals Framework in te voeren. Dat moet tegen april 2027 in orde zijn.
In de praktijk werken OCMW’s vaak samen met gemeenten op dezelfde ICT-systemen. Dat betekent dat in veel gevallen het volledige ICT-systeem van de gemeente aan de basisvereisten zal voldoen, ook al hoeft alleen het OCMW zich officieel te registreren, tenzij de gemeente zelf onder de NIS2-wet valt.
En een welzijnsvereniging? In dat geval moet de welzijnsvereniging, als aparte juridische entiteit, zich registreren en niet de gemeente of het OCMW, ook al gebruikt het woonzorgcentrum het ICT-systeem van het lokaal bestuur.
Andere sectoren: vervoer, drinkwater, afvalwater, afvalbeheer
Organisaties die actief zijn in deze sectoren vallen alleen onder de NIS2-wet als deze diensten een essentieel onderdeel zijn van hun werking. Gemeenten vallen hier doorgaans buiten, maar intercommunales met een van deze diensten als hoofdactiviteit wel. Zij moeten op basis van hun grootte het niveau belangrijk of essentieel van het Cyber Fundamentals Framework volgen.
Het CCB maakte een visueel overzicht van alle sectoren opgenomen in de wet om het toepassingsgebied beter te illustreren.
Wat moet je doen?
Vanaf 18 oktober 2024 moeten alle organisaties significante cyberincidenten binnen de 24 uur melden bij het CCB. Lokale besturen melden daarnaast ook bij het Vlaamse Cyber Response Team. Binnen 72 uur moet je verdere informatie doorgeven, en binnen 30 dagen een volledig rapport indienen.
Ben je onderhevig aan de NIS2-wet? Dan start je na de risicoanalyse de registratie van je organisatie. Je vult de contactpersoon, sector en omvang in en bepaalt het niveau van het Cyber Fundamentals Framework waaraan je tegen april 2027 moet voldoen.
Ondersteuning voor lokale besturen
De VVSG pleitte in een eerder NIS2-standpunt voor een duidelijk plan van aanpak en een strategie om de cyberveiligheid bij lokale besturen te versterken, nog voor ze aan de normen van de NIS2-wet moesten voldoen. Het Vlaams regeerakkoord benadrukt alvast dat digitale veiligheid een prioriteit is. De VVSG vindt het belangrijk dat lokale besturen de juiste ondersteuning krijgen, zowel op maat van gemeenten als via centrale initiatieven en blijft hierop inzetten.
Intussen hebben het Agentschap Binnenlands Bestuur en Digitaal Vlaanderen al een overzicht gemaakt van de huidige ondersteuningsmogelijkheden. Bekijk zeker de presentatie en webinar van 18 september of neem contact op met het Cyber Response Team voor meer informatie.
Vragen?
Heb je meer vragen over de NIS2-wet? Neem contact op met charlotte.demullier@vvsg.be of stuur een mail naar NIS2@vlaanderen.be.
