Bedrijven tasten in het duister over nieuwe cyberregels

©AFP

Vanaf mei 2018 gelden voor bedrijven die vitale diensten zoals telecom of energie leveren strengere Europese regels inzake cyberveiligheid. Maar het Belgische huiswerk is onaf.

‘Wij hebben nog geen ontwerpteksten zien circuleren.’ Bij de operator Telenet hebben ze voorlopig nog geen idee wat de precieze impact zal zijn van de NIS-richtlijn waarmee de Europese lidstaten werk willen maken van meer cyberveiligheid.

Nochtans moet die richtlijn tegen mei volgend jaar al in wetten zijn gegoten. Ze bevat, na de GDPR-regels, de tweede reeks maatregelen waarmee de lidstaten willen optreden tegen de toenemende cyberaanvallen , met het bijhorende verlies van persoonsgegevens.

NIS-richtlijn

De GDPR-verordening, die bepaalt wat bedrijven precies moeten doen bij zo’n datalek, geldt voor bijna alle bedrijven en krijgt bijzonder veel aandacht in de directiekamers. Maar er is ten onrechte minder urgentie rond de NIS-richtlijn, die meer gericht is op het aspect van de cyberveiligheid.

Wij hebben nog geen ontwerpteksten zien circuleren.
woordvoerder telenet

‘De NIS-regels draaien rond de vraag of een bedrijf zich voldoende beschermd heeft tegen een mogelijke aanval en of zo’n aanval correct gedetecteerd en aangepakt wordt’, zegt Filip Van Elsen, specialist in de materie bij het advocatenkantoor Allen & Overy.

Vitale diensten

In tegenstelling tot de GDPR-regels moeten niet alle bedrijven voldoen aan de NIS-bepalingen, wat mogelijk verklaart waarom er minder animo rond is. De richtlijn is alleen van toepassing op bedrijven die ‘vitale’ diensten leveren.

Dat zijn bijvoorbeeld energiebedrijven en drinkwaterleveranciers, maar ook zorginstellingen en telecomoperatoren. Ook bedrijven die louter digitale diensten leveren, zoals zoekmachines, internetplatformen of aanbieders van clouddiensten, vallen onder de regels.

Europa omschreef in de richtlijn grofweg de principes en de betrokken sectoren, maar nu is het aan de lidstaten. De betrokken bedrijven en waarnemers klagen dat de omzetting bij ons te traag gaat, in vergelijking met bijvoorbeeld het buurland Nederland.

België zit achter

België heeft werk voor de boeg, zegt Van Elsen. ‘De overheid moet een team samenstellen dat coördineert met de andere landen, maar ook een contactpunt oprichten waar een incident gemeld kan worden.’ Nederland staat hier volgens hem een paar stappen voor. De Nederlandse ‘Cybersecuritywet’ duidt het ministerie Van Veiligheid en Justitie aan als de bevoegde overheid.

Een ander cruciaal element is het aanleggen van een lijst met bedrijven die essentiële diensten leveren. Niet ieder bedrijf in de genoemde sectoren valt zomaar onder de regels. ‘Op Brussels Airport zullen wel een paar vitale diensten zijn, maar ook een aantal die dat helemaal niet zijn’, meent Van Elsen.

Bedrijven tasten in duister

Maar zelfs bij bedrijven of instellingen die overduidelijk onder de richtlijn vallen, tast men nog in het duister. Het UZ Leuven meldt op de hoogte te zijn van het bestaan van de regels, maar verder niet te weten hoever het staat met de uitvoering.

De overheid moet een team samenstellen dat coördineert met de andere landen, maar ook een contactpunt oprichten waar een incident gemeld kan worden.
Filip Van Elsen
Specialist

Ook bij het Havenbedrijf Antwerpen weet men nog niet waar men precies aan toe is. ‘We weten wel dat er een vragenlijst aankomt die de kritische infrastructuur in de haven moet identificeren’, zegt woordvoerster Annik Dirckx.

Alle spelers haasten zich wel om te onderstrepen dat ze al veel doen rond cyberveiligheid en geen verrassingen vrezen.

Politieke verantwoordelijke

Aan de kant van het politiek is het zoeken naar een verantwoordelijke. Minister van Digitale Agenda Alexander De Croo (Open VLD) verwijst door naar de premier, die naar het Centrum voor Cybersecurity wijst. Daar is te horen dat het dossier wel degelijk beweegt.

‘We bekijken samen met de sectororganisaties de algemene aandachtspunten, zoals het te voeren veiligheidsbeleid of de meldingsplicht’, aldus expert Jean-Luc Peeters. Die ontwerpteksten zullen tegen de deadline bekrachtigd zijn, klinkt het. Daarna start het ‘identificatieproces’, om uit te zoeken wie kritische infrastructuur uitbaat. Dat proces moet tegen november volgend jaar rond zijn.

Verbeteringsproces

Peeters nuanceert bovendien de impact van de regels. ‘De procedures die bedrijven implementeren, moeten leiden tot een continu verbeteringsproces. Bedrijven moeten tonen dat ze wendbaar genoeg zijn om de problemen aan te pakken. Maar voor veel grote spelers verwacht ik geen verrassingen.’

De Nederlandse situatie, waarbij er nu al duidelijkheid is voor de bedrijven, biedt wel voordelen, menen sectorkenners. ‘Bedrijven zijn in het kader van de GDPRregels sowieso al bezig met het bestuderen van hun datastromen’, stelt Matthias Vierstraete, specialist IT-recht bij advocatenkantoor Laga. ‘Het had in hun voordeel gespeeld als ze zich in één beweging ook NIS-proof hadden kunnen maken.’

Lees verder

Advertentie
Advertentie

Tijd Connect