België is de eerste Europese lidstaat die de nieuwe NIS2-wetgeving volledig uitvoert. Dat betekent dat sinds 18 oktober 2024 minstens 2.500 Belgische organisaties verplicht zijn om:
- zich te registreren op de website atwork.safeonweb.be.
- maatregelen te nemen om de cyberveiligheid te vergroten.
- significante incidenten te melden aan het Centre for Cybersecurity Belgium (CCB).
Verplichte meldingen
Omdat de NIS2-wetgeving ook van toepassing is op een deel van onze registrars lichten we toe wat significante incidenten zijn en wanneer je ze precies moet melden. Op de Safe on web-website vind je een tool die je helpt bepalen of NIS2 al dan niet van toepassing is op jouw organisatie.
Voor een volledige uitleg over de toepassing en verplichtingen van NIS2, verwijzen we naar de NIS2-landingspagina van CCB en de uitgebreide artikelreeks op die site.
Significante incidenten
Significante incidenten moet je sinds oktober verplicht melden aan het CCB.
Wat zijn significante incidenten precies?
Het zijn gebeurtenissen die een aanzienlijke impact kunnen hebben op de levering van je diensten. Het gaat om incidenten:
- die een ernstige operationele verstoring van een van je diensten veroorzaakten of waardoor je financiële verliezen hebt geleden.
- waarbij andere natuurlijke of rechtspersonen getroffen werden of getroffen kunnen worden met aanzienlijke materiële, lichamelijke of morele schade tot gevolg.
- die het lekken van bedrijfsgeheimen veroorzaken of kunnen veroorzaken.
- die directe financiële verliezen veroorzaken of kunnen veroorzaken die meer dan 500.000 euro of 5 procent van de totale jaaromzet in het voorgaande boekjaar bedragen.
- waarbij een succesvolle, vermoedelijk kwaadaardige en ongeautoriseerde toegang tot netwerk- en informatiesystemen plaatsvond, die ernstige operationele verstoring kan veroorzaken.
Een incident op een geïsoleerd informatiesysteem dat geen verband heeft met de levering van je diensten moet je dus niet melden.
Specifiek voor DNS-dienstverleners
Met betrekking tot DNS-dienstverleners is een incident (volgens Artikel 3 lid 1.g van NIS 2) significant wanneer het aan een of meer van de volgende criteria voldoet:
- Een recursieve of gezaghebbende domeinnaamresolutiedienst is gedurende meer dan 30 minuten volledig onbeschikbaar.
- Gedurende een periode van meer dan een uur is de gemiddelde reactietijd van een recursieve of autoratieve domeinnaamomzettingsdienst op DNS-verzoeken meer dan 10 seconden.
- De integriteit, vertrouwelijkheid of authenticiteit van opgeslagen, verzonden of verwerkte gegevens in verband met de verlening van de dienst voor de autoratieve domeinnaamomzetting is gecompromitteerd. Wanneer de gegevens van minder dan 1.000 domeinnamen die de DNS-dienstverlener beheert niet correct zijn door verkeerde configuratie, en die 1.000 domeinnamen niet meer dan 1 procent uitmaken van alle domeinnamen die de DNS-dienstverlener beheert, is er geen sprake van een significant incident.
Terugkerende incidenten
Een reeks incidenten die elk afzonderlijk niet voldoen aan de criteria van significante incidenten, kunnen samen toch als één significant incident beschouwd worden als ze voldoen aan de volgende criteria:
- ze hebben zich minstens twee keer voorgedaan in 6 maanden.
- ze hebben dezelfde hoofdoorzaak.
- ze voldoen aan de criteria van financiële verliezen en onbeschikbaarheid van diensten.
Hoe meld je een significant incident?
Wanneer je een verdachte gebeurtenis hebt ontdekt of iemand je op een potentieel incident wijst, moet je:
- de gebeurtenis tijdig beoordelen.
- bepalen of het om een significant of niet-significant incident gaat.
Wanneer het om een significant incident gaat, moet je dat onmiddellijk en in elk geval binnen de 24 uur melden aan het CCB.
Als registrar moet je daarna ook:
- je klanten informeren.
- acties communiceren die je klanten kunnen nemen.
- een tussentijds voortgangsverslag bezorgen aan het CCB.
- ten laatste een maand na de melding (of bij een langdurig incident na de definitieve afhandeling) een eindverslag bezorgen aan het CCB.
Vrijwillige meldingen
Naast verplichte meldingen kan elke organisatie – ook zij die niet onder het toepassingsgebied van de NIS2-wet vallen – vrijwillig niet-significante en vermeden incidenten en cyberbedreigingen melden bij het CCB.
Een vrijwillige melding kan niet tot een inspectie of extra verplichtingen leiden.
Aan de slag
Op de websites van het CCB en Safeonweb vind je:
- een scoping tool die je helpt te bepalen of NIS2 op jouw organisatie van toepassing is.
- het platform waar je je organisatie kan registreren.
- uitgebreide informatie over NIS 2 en de meldingsplicht in de Gids voor NIS2-meldingen.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.