Infosessie NIS2-wet voor lokale besturen

Nee, het lokaal bestuur is dan niet verplicht om significante incidenten te melden. Lokale besturen die niet onder de NIS2-wet vallen, kunnen zich alsnog registreren bij het CCB om extra informatie krijgen.

Nee, er zijn voorlopig geen eenduidige criteria. Dit moet case by case worden beoordeeld door de certificatieautoriteit van het federale Centre Cybersecurity Belgium (CCB). Het CCB hanteert een zeer strikte scheiding.

Indien de organisatie een activiteit uitvoert die vermeld wordt in de bijlagen, valt in principe de volledige organisatie onder het toepassingsgebied van de NIS2-wet. Hiervoor wordt gekeken naar de juridische entiteit. Echter, NIS2 voorziet wel een uitzondering wanneer je je kan aantonen dat je in een afzonderlijke informatienetwerk opereert. Het gaat hier in ieder geval om een zeer strikte scheiding.

In de context van het lokaal bestuur moet omzet worden geïnterpreteerd als de operationele ontvangsten. Dit zijn de ontvangsten uit de werking, belastingen, werkingssubsidies (waaronder het gemeentefonds en de federale tussenkomst voor leefloon). Financiële ontvangsten zoals rentes en dividenden worden in principe niet meegerekend.

Indien verschillende stadsdiensten of organisaties van éénzelfde IT-omgeving gebruik maken - zonder segmentatie - dan worden deze als één entiteit beschouwd indien zij ook over dezelfde rechtspersoon zitten.

Ja, maar dat neemt natuurlijk niet weg dat een lokaal bestuur ongeacht of deze niet valt onder het toepassingsgebied, moet inzetten op maatregelen om de cyberweerbaarheid van de organisatie te verhogen.

(IGS = intergemeentelijke samenwerkingsverbanden / EVA = extern verzelfstandigde agentschappen)

Volgens de bijlagen valt een woonzorgcentrum wel degelijk onder het toepassingsgebied als deze ook voldoet aan de omvangvereisten. Er wordt altijd rekening gehouden met de omvangvereisten op niveau van juridische entiteit. Indien een woonzorgcentrum deel uitmaakt van eenzelfde juridisch rechtspersoon, dan wordt de omvang van het lokaal bestuur ook in aanmerking genomen voor de berekening. Bij een apart juridisch rechtspersoon is dit niet het geval. Het kan wel zijn dat op basis van de risicoanalyse, een woonzorgcentrum niet per se moet behoren tot het niveau ‘essentieel’.

Indien er medicatie voorgeschreven wordt en/of er medisch personeel tewerkgesteld is en er wordt voldaan aan de omvangvereisten, zal deze ook onder het toepassingsgebied vallen.

Op dit moment is hier geen overzicht van. Er is een mogelijkheid dat dit in de nabije toekomst ter beschikking wordt gesteld. Daarnaast is er de definitie van zorgaanbieders in de EU-richtlijn die stelt dat een rechtspersoon die gezondheidszorg verstrekt in aanmerking komt.

Hiervoor moet worden nagegaan of er sprake is van business-to-business activiteiten en in hoeverre actieve ondersteuning wordt geboden. De term “business-to-business” in bijlage I van de NIS2-wet moet worden opgevat als een verwijzing naar alle relaties tussen dienstverleners en andere organisaties/professionals (bedrijven, overheden, ambachtslieden, vrije beroepen, verenigingen enz. Het feit dat een entiteit geen winstoogmerk heeft of niet commercieel is, lijkt geen criterium te zijn om een entiteit van deze sector uit te sluiten.

Dit omvat dus ook alle diensten die door een publieke entiteit worden verleend aan overheidsdiensten, publiekrechtelijke bedrijven of andere publiekrechtelijke rechtspersonen (zelfs op aanvullende basis).

Het doel van de NIS2-richtlijn is om bescherming tegen cyberbeveiliging te bieden aan entiteiten die ten minste één dienst leveren die als kritiek wordt beschouwd voor economische of maatschappelijke activiteiten binnen de Europese Unie (ongeacht of de entiteit publiek of privaat is - zie art. 3, §1 van de NIS2-wet “deze wet is van toepassing op publieke of private entiteiten van een type als bedoeld in bijlage I of II”).

Indien er geen actieve ondersteuning (bijstand o actieve administratie bij de klanten ter plaatse of op afstand) wordt geboden, zoals het installatie, beheer, exploitatie en onderhoud van producten en netwerken, dan valt de organisatie niet in scope van de NIS2-wet als leverancier van beheerde ICT-diensten.

Nee, het gaat in deze over het delen van kosten voor een gezamenlijke aanwerving. In dit geval, valt geen van de partijen in het toepassingsgebied van de NIS2 als dienstenleverancier.

Het lokaal bestuur houdt steeds de eindverantwoordelijkheid. Hoe een organisatie aan de NIS2-verplichtingen voldoet is een eigen keuze, maar juridisch gezien kan je geen verantwoordelijkheid overdragen aan een derde partij.

Bij de definitie van de sector afvalstoffenbeheer wordt een uitzondering gemaakt voor organisaties waarvan afvalstoffenbeheer niet de hoofdactiviteit is. Voor steden en gemeenten is afvalstoffenbeheer niet de voornaamste economische activiteit. Voor afvalintercommunales die in opdracht van lokale besturen instaan voor het afvalbeheer is dit wel de hoofdactiviteit.

• Hoofdactiviteit = voornaamste economische activiteit.

Bij de definitie van de sector afvalwater wordt een uitzondering gemaakt voor organisaties waarvan het beheer van stedelijk, huishoudelijk of industrieel afvalwater niet de hoofdactiviteit is. Voor steden en gemeenten is het beheer van afvalwater (bv. beheer en onderhoud riolering) niet als hoofdactiviteit. Voor intercommunales die in opdracht van lokale besturen instaan voor het beheer van afvalwater is dit wel de hoofdactiviteit.

• Hoofdactiviteit = voornaamste economische activiteit.