Iedereen kent de GDPR, maar heeft u al gehoord van de NIS-wet?

De General Data Protection Regulation (afgekort “GDPR”), de Europese Verordening die regels oplegt in het kader van de verwerking van persoonsgegevens, is voor niemand onbekend. Ongetwijfeld bent u als onderneming druk in de weer (geweest) met het voorzien van de nodige interne procedures, verwerkersovereenkomsten, registers en policies om te voldoen aan uw verplichtingen onder de GDPR, maar voldoet uw onderneming ook aan de verplichtingen die worden opgelegd onder de Wet inzake de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (de “NIS-wet”)?

Daar waar de GDPR de bescherming van persoonsgegevens beoogt, is de NIS-wet van toepassing op de beveiliging van netwerk- en informatiesystemen van zowel aanbieders van essentiële diensten als van digitale dienstverleners. Ondanks het feit dat de NIS-wet reeds op 3 mei 2019 in werking trad, zijn maar weinig ondernemingen op de hoogte van de verplichtingen die deze wetgeving met zich mee brengt. Toch mag u deze wet niet uit het oog verliezen, want net zoals de GDPR legt de NIS-wet een hele reeks aan administratieve en strafrechtelijke sancties op wanneer u als onderneming niet in regel bent.

In deze bijdrage wordt een kort overzicht gegeven van de belangrijkste principes van de NIS-wet.

  1. Toepassingsgebied NIS-wet

De NIS-wet beoogt de beveiliging van netwerk- en informatiesystemen van aanbieders van essentiële diensten, enerzijds, en digitale dienstverleners, anderzijds.

Onder netwerk- en informatiesystemen moet worden begrepen:

  • elektronische communicatienetwerken,
  • apparaten die elektronische gegevens verwerken zoals bijvoorbeeld hardware, en
  • digitale gegevens.

De beveiliging van netwerk- en informatiesystemen impliceert dus niet enkel de beveiliging van netwerken en apparaten, maar ook van digitale gegevens die via deze netwerken en apparaten worden verwerkt, opgeslagen, verzonden, etc.

Zowel aanbieders van essentiële diensten als digitale dienstverleners vallen onder het toepassingsgebied.

Een aanbieder van essentiële diensten is een publieke of private entiteit die in België:

  • actief is één van de volgende sectoren: energie, vervoer, financiën, gezondheidszorg, drinkwater of digitale infrastructuren,
  • diensten verleent die van essentieel belang zijn voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten,
  • diensten verleent die afhankelijk zijn van netwerk- en informatiesystemen,
  • wanneer er zich een incident voordoet en dit incident een aanzienlijke verstorend effect kan hebben voor de verlening van die dienst (de criteria om te bepalen wanneer een incident een aanzienlijk verstorend effect heeft, worden per sector vastgelegd), en
  • die als dusdanig is aangewezen door de sectorale overheid. Het loutere feit dat uw organisatie aan de hierboven vermelde voorwaarden voldoet, maakt van uw organisatie m.a.w. nog geen aanbieder van essentiële diensten: u dient hiervoor formeel als aanbieder van essentiële diensten te worden aangewezen.

Een digitale dienstverlener daarentegen is een rechtspersoon met een hoofdkantoor (of indien de dienstverlener niet in de EU gevestigd is, een vertegenwoordiger) in België die digitale diensten aanbiedt, zijnde onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. Merk op dat er voor deze categorie van dienstverleners geen formele aanwijzing vereist is: zodra u aan de voorwaarden voldoet, valt u binnen het toepassingsgebied van de NIS-wet.

Het is voornamelijk de laatste categorie, de cloudcomputerdiensten, die ervoor zorgt dat veel ondernemingen zonder het te beseffen onder het toepassingsgebied van de NIS-wet vallen.

Cloudcomputerdiensten wordt erg breed omschreven als “een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit”. Volgens de Europose NIS-richtlijn (waarop de Belgische NIS-wet gebaseerd is) verwijst “computercapaciteit” naar “capaciteit zoals netwerken, servers en andere infrastructuur, opslag, applicaties en diensten“. De scope van dit begrip is dan ook ruimer dan louter Infrastructure-as-a-Service diensten. Er wordt algemeen aangenomen dat ook Platform-as-a-Service en Software-as-a-Service diensten hieronder vallen.

  1. Verplichtingen voor aanbieders van cloudcomputerdiensten onder de NIS-wet

Alle aanbieders van cloudcomputerdiensten die persoonsgegevens verwerken, zijn verplicht een functionaris voor gegevensbescherming (beter bekend als data protection officer of “DPO”) aan te wijzen. Dit heeft als gevolg dat bepaalde ondernemingen die volgens de GDPR-criteria geen DPO zouden moeten aanstellen, hier alsnog toe verplicht worden krachtens de NIS-wet.

Tenzij u een micro of kleine onderneming (max. 50 werknemers en jaaromzet of jaarlijks balanstotaal van max. EUR 10 miljoen) bent, dient u daarnaast ook:

  • state-of-the-art technische en organisatorische maatregelen te nemen,
  • incidenten met aanzienlijke gevolgen voor de verlening van uw dienst te melden aan de bevoegde autoriteiten, en
  • een contactpunt voor de computerbeveiliging aan te stellen en de bevoegde sectorale overheid hierover te informeren.

Voornoemde verplichtingen vormen slechts een niet-limitatieve opsomming.

Gelet op de aanzienlijke administratieve en strafrechtelijke sancties die worden voorzien in de wet, neemt u als onderneming best zo snel mogelijk actie om zich volledig in regel te stellen.

Uiteraard kan Four & Five u hierin bijstaan. Aarzel niet om ons te contacteren indien u vragen heeft op de impact van de NIS-wet op uw onderneming.