Kader voor de beveiliging van netwerk- en informatiesystemen voor de openbare veiligheid
De ministerraad keurt op voorstel van eerste minister Charles Michel en minister van Veiligheid en Binnenlandse Zaken Jan Jambon een voorontwerp van wet goed dat een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid vaststelt.
De eerste minister, onder wiens toezicht het Centrum voor Cybersecurity België (CCB) staat, leidt de omzetting in Belgisch recht van de Europese Richtlijn (EU) 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen (NIS-richtlijn).
De NIS-richtlijn legt de lidstaten van de Europese Unie een aantal verplichtingen op om te waarborgen dat de aanbieders van essentiële diensten (AED's) en de digitale dienstverleners die op hun grondgebied gevestigd zijn, technische en organisatorische maatregelen treffen om de risico’s te beheren die een bedreiging vormen voor de veiligheid van hun netwerk- en informatiesystemen. Zo kunnen incidenten voorkomen worden of de impact ervan beperkt worden, en blijft de continuïteit van essentiële diensten gewaarborgd.
Dit voorontwerp van omzettingswet voorziet onder meer in:
-
de aanstelling van bevoegde overheden op twee niveaus en met verschillende rollen:
- een nationale overheid, belast met de opvolging en de coördinatie van de uitvoering van deze wet (CCB)
- sectorale overheden, belast, voor hun respectievelijke sector, met het toezicht op de uitvoering van de bepalingen van deze wet
-
de aanstelling van centra voor de respons op informaticaveiligheidsincidenten (computer security incident response teams of CSIRT’s):
- een nationaal CSIRT (CCB)
- eventuele sectorale CSIRT(’s)
- de identificatie van de AED’s door de sectorale overheid, in overleg met het CCB en het crisiscentrum ADCC, binnen de grenzen van hun respectievelijke bevoegdheden
- de mogelijkheid om andere soorten AED’s toe te voegen binnen de sector of de subsector
-
het vastleggen van de veiligheidsregels voor de AED’s:
- gemeenschappelijke algemene veiligheidsvereisten voor alle sectoren
- aanvullende sectorale veiligheidsvereisten
- de melding van de veiligheidsincidenten met een grote impact aan het nationale CSIRT (CCB), aan de sectorale overheid of haar sectorale CSIRT en aan de DGCC
-
de drie controleniveaus van de AED’s:
- controle op elk moment door sectorale inspectiediensten
- interne audit (elk jaar)
- externe audit (om de 3 jaar) door een door de Belgische Accreditatie-instelling (BELAC) geaccrediteerd conformiteitsevaluatieorgaan of een gelijkwaardige erkende organisatie
- de aanduiding van de dienstverleners die een of meerdere kritieke infrastructuren beheren als AED voor zover de geleverde dienst afhankelijk is van de netwerk- en informatiesystemen en de betrokken sector onder het toepassingsgebied van de NIS-richtlijn valt
- de mogelijkheid voor de sectorale overheden om de inbreuken op de wettelijke bepalingen te bestraffen met strafrechtelijke of administratieve sancties
- een belangrijke rol voor het Belgische accrediteringsorganisme BELAC bij de controle van de conformiteitsbeoordelingsorganismen die de AED’s een certificaat zullen kunnen toekennen enerzijds, en bij de accreditatie van de organismen belast met de externe audits anderzijds
Het voorontwerp wordt ter advies voorgelegd aan de Raad van State.