België stemt wet voor cyberbeveiliging jaar na Europese deadline

Het Belgisch parlement heeft een wet aangenomen die de Europese NIS-richtlijn inzake cybersecurity vertaalt naar nationaal recht. De deadline die de EU daarvoor had opgelegd, verstreek in mei van vorig jaar.

De Europese richtlijn inzake netwerk- en IT-systemen (NIS) is aangenomen als wet in ons land. De EU keurde de NIS-richtlijn in 2016 goed. Zoals bij alle Europese richtlijnen volgde op die goedkeuring een periode waarin de lidstaten de tekst moeten omzetten naar nationaal recht. De deadline daarvoor was 9 mei 2018. Die minste ons land met glans, maar vandaag keurde het parlement de relevante wetteksten dan toch eindelijk goed. Daarmee is de wet nog niet van kracht: dat gebeurt pas na de publicatie ervan in het Staatsblad.

Onhaalbare deadline

NIS legt lidstaten verplichtingen op voor de beveiliging van hun essentiële IT-infrastructuur. Dat is een breed begrip, waaronder bijvoorbeeld stroom- en waterleveranciers vallen, maar ook telecomproviders, ziekenhuizen en zelfs uitbaters van online marktplaatsen.

De richtlijn vraagt van de lidstaten om een lijst van die kritieke infrastructuur op te stellen ten laatste zes maanden na de vertaling van de richtlijn in een wet. De facto was dat 9 november 2018. Behoudens de uitvinding van een tijdsmachine lijkt ook die deadline moeilijk haalbaar. De voor de deur staande verkiezingen zullen de situatie verder niet vereenvoudigen. Het CCB gaf eerder nog mee de ambitie te hebben voor het einde van deze zomer een lijst klaar te hebben.

Meldingsplicht

De NIS-richtlijn eist de organisaties die op de lijst staan van kritieke infrastructuur zich houden aan extra strikte veiligheidsmaatregelen. Bovendien moeten zij iedere inbreuk melden aan het CERT. De richtlijn verschilt van de GDPR omdat ze breder is: zo hoeft een eventueel hack geen impact te hebben op de operationele werking, en hoeven er geen persoonsgegevens mee gemoeid zijn, om de meldingsplicht te laten gelden. Het is de bedoeling van de tekst om de lidstaten aan te zetten hun cyberbeveiliging serieuzer te nemen.

Het wettelijk kader voor NIS is intussen dus in orde. Zolang de lijst echter niet bestaat, en de kritieke infrastructuur in ons land niet gedefinieerd is, zijn de regels echter niet afdwingbaar. Is dat wel in orden, dan heeft de overheid zowel geldboetes als strafrechtelijke vervolging in zijn arsenaal om bedrijven aan te manen hun cyberbeveiliging op peil te brengen.

Gerelateerd: Cybersecurity in Europa: hoe de EU een internationale security-aanpak uitbouwt