Het gaat om de Europese NIS-richtlijn (Netwerk- en Informatiesystemen) die gisteren in de Kamer werd aangenomen als Belgische wet. Die wet wordt van kracht na publicatie in het staatsblad.

In eerste instantie vereist de NIS-wet dat essentiële diensten in ons land, en de aanbieders ervan, worden geïdentificeerd. Vervolgens worden zij in de eerste zes maanden na de inwerkingstreding gecontacteerd door de overheid om hen in te lichten over de nodige verplichtingen.

Het gaat om zes sectoren: energie, vervoer, financiën, gezondheidszorg, drinkbaar water en digitale infrastructuur. Ook cloud computingdiensten vallen onder de wet. Opmerkelijk genoeg geldt ze ook voor aanbieders van online marktplaatsen en zoekmachines. Zij worden, samen met cloud computingdiensten, niet geïdentificeerd, maar omdat er nog geen wetgeving rond deze platformen bestaat, worden ze ook in de NIS-wet opgenomen.

Zo'n aanbieder van essentiële diensten moet volgens de wet voldoen aan een aantal veiligheidsmaatregelen, maar ook incidenten zoals cyberaanvallen melden aan de overheid. Wat die veiligheidsmaatregelen precies zijn is niet bekend.

Sancties

Volgens het CCB zullen de bedrijven die worden geïdentificeerd als aanbieders van essentiële diensten ook regelmatig gecontroleerd worden. Een exacte reeks verplichtingen rond cyberveiligheid is er niet, vooral omdat het landschap continu evolueert en dat moeilijk vast te pinnen valt op specifieke maatregelen.

Bedrijven die onder de NIS-wet vallen worden, kunnen zowel administratief (met geldboetes) als strafrechterlijk (voor de rechtbank) gesanctioneerd worden. Al klinkt het bij het CCB wel dat het niet de bedoeling is om vooral boetes op te leggen. De sancties zijn vooral een stok achter de deur. In de eerste plaats heeft de wet vooral als doel dat er nauw wordt samengewerkt tussen aanbieders en de overheid om een betere cyberveiligheid te bieden.