Ik ben een digital service provider. Wat met NIS?

In een vorige blog, beschreven we kort wat de Europese NIS-richtlijn nu eigenlijk inhoudt en wat de impact ervan is op bedrijven en openbare instellingen (verder genoemd: organisaties). Nu zoomen we in op de digitale service providers. 

Laat ons alvast starten met de definitie van digitale service providers of aanbieders van digitale diensten. De Europese Unie definieert een digitale dienst als “elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten wordt verricht”. De richtlijn vermeldt drie specifieke soorten diensten, met name on-line marktplaatsen, on-line zoekmachines en cloud computerdiensten.

Valt een organisatie al dan niet onder NIS-regulering? 

Dit is een vrij eenvoudige analyse. Afgaand op onderstaande definities, maakt u een keuze. Een stappenplan leggen we uit in de volgende paragraaf.

1. Aanbieders van on-linemarktplaats

Via een on-line marktplaats wordt aan een grote groep en een breed gamma van
ondernemingen de mogelijkheid geboden hun handelsactiviteiten ten aanzien van de
consumenten te ontplooien en zakelijke relaties tussen ondernemingen aan te gaan.

2. Aanbieders van on-line zoekmachines

Het begrip on-line zoekmachine wordt omschreven als een digitale dienst die het gebruikers mogelijk maakt zoekacties te verrichten op in beginsel alle websites of websites in een bepaalde taal op basis van een zoekvraag.


3. Aanbieders van cloud computer-diensten

Een cloud computer-dienst wordt gedefinieerd als een digitale dienst die toegang
mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit.
“Infrastructure/Platform/Software-as-a-Service” providers vallen hieronder.

Dus indien u één van deze bovenstaande diensten (punt 1,2 of 3) aanbiedt, dan is aan conformatie met de NIS-wetgeving géén ontsnappen aan.

Wat nu?

De analyse om tot het besluit te komen dat er aan de NIS-wetgeving voldaan moet worden, is weliswaar een stap in de goede richting. Het echte werk moet echter nog komen: het halen van de gestelde deadlines en de daarbijhorende audit(s).
Het volgende stappenplan geef je alvast aan hoe :
 
Stap 1: vastleggen scope van uw digitale dienstverlening
Stap 2: inventarisatie van de processen die gelinkt zijn aan deze essentiële diensten
Stap 3: inventarisatie van netwerk- en informatiesystemen gelinkt aan kritieke processen
Stap 4: uitvoeren van een risico-analyse
Stap 5: uitwerken van een informatiebeschermingsbeleid (cfr. ISO27001:2013)
Stap 6: implementeren van maatregelen (oa aanstellen van een DPO)
Stap 7: auditeren/certifiëren
 
Belangrijk in alle stappen is dat het uitgangspunt van de NIS-wetgeving te allen tijde moet meegenomen worden:
 
bescherming van de digitale dienstverlening;
melding van incidenten;
continuïteit van de digitale dienstverlening.
 
Qua processen denken we voornamelijk aan al diegene die:
 
rechtstreeks verbonden zijn met essentiële dienstverlening;
bovenstaande processen ondersteunen;
verband houden met het melden van calamiteiten.
 
Met de NIS-wetgeving willen de overheden de informatieveiligheid naar een hoger niveau tillen. Dia betekent dat er gewaakt moet worden over:
 
De beschikbaarheid en integriteit van informatie;
De exclusiviteit, vertrouwelijkheid en beveiliging van informatie.
 
En wat als ik nu niets doe?
 
Vergelijkbaar met de GDPR voorziet de NIS-wet in zowel administratieve als strafrechtelijke boetes. Deze boetes kunnen al snel oplopen tot 75.000 euro (te vermenigvuldigen met 8) of een gevangenisstraf tot twee jaar. Er zijn ook administratieve sancties mogelijk tot 200.000 euro.
Bovendien hebben de bevoegde autoriteiten de mogelijkheid om toezicht te houden op de naleving van deze nieuwe wet. 
Dus hoewel de GDPR meer aandacht kreeg dan de NIS-wet, zal de naleving ervan net zo belangrijk zijn.
 
(Bovenstaande bijdrage kwam tot stand in samenwerking met SecureLink N.V. (Wommelgem)).
 
Meer info: 03/641.95.95 of http://www.securelink.be.