Er komt een nieuwe cybersecurity-wetgeving op ons af: Wat is “NIS”?

De Europese NIS-richtlijn werd op 3 mei 2019 omgezet in Belgische wetgeving. Concreet gaat het over de “beveiliging van netwerk- en informatiesystemen (NIS) van algemeen belang voor de openbare veiligheid”. Sinds kort weten de (meeste) bedrijven via hun sectorale overheden of zij aan deze NIS-wetgeving moeten voldoen of niet. Sectoren die van vitaal belang zijn voor onze economie en samenleving én die bovendien sterk afhankelijk zijn van ICT, zoals banken, energie, transport, drinkwater, gezondheidszorg en digitale infrastructuur, zullen allemaal aan deze wetgeving dienen te voldoen.

Het uitgangspunt van de NIS-wet is het garanderen van een hoog niveau van beveiliging van kritieke netwerk- en informatiesystemen om zo de continuïteit en de openbare veiligheid van de kritieke maatschappelijke of economische diensten te garanderen. 
Bedrijven uit de betreffende sectoren zullen dus passende veiligheidsmaatregelen moeten nemen en ernstige incidenten moeten melden bij de relevante nationale autoriteit.
 
Wat is de essentie van de NIS-richtlijn ?

Het Belgische wetsvoorstel voor de implementatie heeft een ongewone, stoutmoedige stap genomen door te verwijzen naar ISO27001 of gelijkaardig, om een (echte) minimum verwachting op te leggen. De bedrijven die aan deze wet moeten voldoen, moeten de volgende maatregelen treffen:

Nemen van technische en organisatorische beveiligingsmaatregelen die incidenten kunnen vermijden of hun impact kunnen beperken;
Uitwerken van een beveiligingsbeleid, gebaseerd op de ISO/IEC 27001 norm;
Melden van cybersecurity-incidenten;
Auditeren van de netwerk- en informatiesystemen. De frequency: jaarlijks een interne en om de drie jaar een externe audit;
Aanstellen van een contactpersoon of dienst. 

Welke impact heeft dit op bedrijven?

Aaanbieders van essentiële diensten zullen 12 maanden hebben, na de datum van kennisgeving van hun officiële benoeming, om hun informatiebeveiligingsbeleid conform op te stellen;
Aanbieders van essentiële diensten zullen 24 maanden hebben om, na de datum van kennisgeving van hun officiële aanwijzing, de opgestelde maatregelen met betrekking tot hun informatiebeveiligingsbeleid conform uit te voeren;
Aanbieders van digitale diensten (alle aanbieders van on-line marktplaatsen, on-line zoekmachines en cloud-diensten met kantoor of vertegenwoordiging in België) dienen zelf uit te maken of ze al dan niet moeten voldoen aan de NIS. 

Zin of onzin van ISO-certificatie? 

Het goede nieuws is dat het Belgische wetsvoorstel verplicht tot een jaarlijkse interne audit en een driejaarlijkse externe audit. Dat is een afgezwakte versie van de ISO-aanpak waar een jaarlijkse surveillance-audit wordt opgelegd na de certificatie. Zowel de interne als de externe audit kunnen door externe partijen ingevuld worden.
 
M.a.w. je hoeft als aanbieder niet onmiddellijk over te gaan tot een officiële ISO-certificatie, maar in se ga je wel aan alle geplogenheden dienen te voldoen. Dan lijkt het me handig om op een gegeven moment de stap wel te zetten, want die is niet zo groot meer.
Voordeel van een ISO-certificatie? Dat is een externe, officiële en formele bevestiging dat de informatiebeveiliging volgens de verwachte afspraken loopt. 

Niks doen is géén optie!

Conform de GDPR, voorziet de NIS-wet in zowel administratieve als strafrechtelijke boetes die opgelegd kunnen worden. Bovendien zullen de bevoegde autoriteiten verreikende bevoegdheden hebben om toezicht te houden en controle uit te oefenen op de naleving van de NIS-wet.

(Bovenstaande bijdrage kwam tot stand in samenwerking met SecureLink N.V. (Wommelgem)).
 
Meer info: 03/641.95.95 of http://www.securelink.be.