5. Omzetting van NIS2 in Belgisch recht
Richtlijn (EU) 2016/1148 (NIS1) werd in België omgezet door de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.
Aangezien de nieuwe Europese tekst een richtlijn is – en geen verordening [10] – moet deze dus in nationaal recht worden omgezet om in werking te treden. De NIS2-richtlijn moet uiterlijk op 17 oktober 2024 omgezet zijn in Belgisch recht en moet van toepassing zijn op 18 oktober 2024.
Gezien het aspect openbare veiligheid van de Federale Staat, vertrouwt de regering de bevoegdheid voor deze materie toe aan de nationale wetgever, wat ons – indien economische en/of sociale belangen en/of openbare/particuliere activiteitensectoren in aanmerking hadden moeten worden genomen – de verwikkeling bespaart van verschillend omgezette en geformuleerde gewestelijke en/of communautaire voorschriften, bronnen van ongelijkheden en conflicten...
De regering heeft daarom op 5 maart 2024 een wetsontwerp ingediend, getiteld “Wetsontwerp tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid”. Dit wetsontwerp werd opgesteld en gecoördineerd door het Centrum voor Cybersecurity België (CCB) en de diensten van de eerste minister.
Het wetsontwerp werd op 18 april 2024 door de Kamer aangenomen. De nieuwe wet werd ondertussen in het Belgisch Staatsblad van 17 mei 2024 gepubliceerd, onder de titel: “Wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid”. Gezien de vele vereiste wijzigingen zal deze wet de bepalingen van de wet van 7 april 2019 volledig vervangen. Ze werd aangevuld door een uitvoeringsbesluit van 9 juni 2024.
Net zoals de richtlijn is het doel van de wet het versterken van maatregelen op het gebied van cyberbeveiliging, de behandeling van incidenten en het toezicht van entiteiten die essentiële diensten verlenen voor het in stand houden van kritieke sociale of economische activiteiten. Daarnaast doelt ze ook op het verbeteren van de coördinatie van het overheidsbeleid op het gebied van cybersecurity.
In de wet worden de wettelijke minimumregels op het gebied van beveiligingsmaatregelen en risicobeheer uiteengezet die essentiële en belangrijke entiteiten dienen te hanteren [11]. Er wordt rekening gehouden met de mate waarin een entiteit aan risico’s is blootgesteld, alsook met de omvang van de entiteit, de waarschijnlijkheid van een incident en de ernst ervan.
Naast een procedure voor het melden van incidenten voorziet de wet ook in een sanctieregeling die de administratieve maatregelen en geldboetes specificeert die de bevoegde toezichthoudende autoriteiten kunnen opleggen aan de essentiële of belangrijke entiteiten evenals de procedure die hieraan dient vooraf te gaan.
[10] Een Europees reglement is in de meeste gevallen direct van toepassing.
[11] 11 Om de praktische implementatie van deze cyberbeveiligingsmaatregelen te vergemakkelijken, heeft het CCB reeds een referentiekader ontwikkeld en gratis beschikbaar gesteld aan de betrokken entiteiten: de “Cyberfundamentals” , met vier verschillende niveaus, voorgesteld in ons artikel “
ANPI in het tijdperk van cyberbeveiliging”, in: Fire & Security Alert Magazine nr. 32, september 2023, p. 37
