Cybersecuritywet (NIS): nieuwe risico's voor online dienstverleners

De nieuwe Cybersecuritywet (NIS) kan als gevolg hebben dat online dienstverleners aansprakelijk worden gesteld voor een cyberaanval waarvan ze zelf het slachtoffer zijn. De sancties hiervoor kunnen oplopen tot 400.000 euro of zelfs een jaar gevangenisstraf. Naast het nemen van voldoende preventieve maatregelen bieden onder meer een cyberpolis en een bestuurdersaansprakelijkheidsverzekering de nodige bescherming tegen deze nieuwe risico’s.

Cybersecuritywet (NIS): nieuwe risico’s voor online dienstverleners

Als cybercriminelen uw IT-infrastructuur hacken of belangrijke gegevens van uw klanten stelen, bent u in de eerste plaats slachtoffer van deze misdadigers. Maar indien uw organisatie aan digitale dienstverlening doet, kunt u ook aansprakelijk worden gesteld. Dat is één van de gevolgen van de inwerkingtreding van de nieuwe Cybersecuritywet (of ook NIS-wet, waarbij NIS staat voor Network and Information Security) die op 3 mei 2019 gepubliceerd werd.

Zodra u als digitale dienstverlener (of aanbieder van essentiële diensten in de sectoren Energie, Transport, Financiering of Gezondheid) onder de toepassing van deze wet valt, moet u rekening houden met enkele extra verplichtingen. Verzaakt u hieraan, dan kan u verantwoordelijk worden gesteld indien u bijvoorbeeld onvoldoende hebt gedaan om een cyberaanval te voorkomen of indien u het incident niet hebt gemeld.

Bent u een digitale dienstverlener?

De Cybersecuritywet omschrijft een digitale dienstverlener als volgt: ‘een rechtspersoon die een digitale dienst verleent’. Een digitale dienst is dan ‘elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten verricht wordt’.

Uiteraard is dit een heel brede definitie, waarop in de bijlagen van de wet heel wat uitzonderingen zijn voorzien. Maar grofweg zijn digitale dienstverleners online marktplaatsen, online zoekmachines en cloudcomputerdiensten.

Drie extra verplichtingen

Indien u onder de noemer van ‘digitale dienstverlener’ valt, hebt u drie belangrijke verplichtingen (waarover u in de Cybersecuritywet zelf meer informatie kunt vinden):

1. Beveiligingsplicht: u moet de risico’s voor de beveiliging van uw netwerk- en informatiesystemen in kaart brengen en de nodige maatregelen nemen om deze risico’s te beheersen. Ook wordt verwacht dat u maatregelen neemt om de continuïteit van uw diensten te garanderen.

2. Meldingsplicht: elk incident dat grote gevolgen heeft op uw digitale dienstverlening moet gemeld worden via het platform van het Centrum voor Cybersecurity België (CCB). Deze plicht geldt enkel wanneer u toegang hebt tot de informatie om de gevolgen van het incident volledig of gedeeltelijk te beoordelen.

3. Informatieplicht: u moet de inspectiedienst van de FOD Economie binnen de gestelde termijn de nodige informatie bezorgen om de beveiliging van uw netwerk- en informatiesystemen te beoordelen.

Strafrechtelijke en administratieve sancties

Indien u aan bovenstaande verplichtingen niet voldoet, kan u zowel strafrechtelijk als administratief gesanctioneerd worden. De strafrechtelijke sancties die u krijgt opgelegd wanneer u bijvoorbeeld hebt verzaakt aan uw beveiligingsplicht, kunnen oplopen tot een jaar gevangenisstraf en/of een geldboete die tot 240.000 euro kan bedragen. Bij het niet naleven van de informatieplicht kan dit bedrag zelfs oplopen tot 400.000 euro.

Daarnaast riskeren online dienstverleners ook een administratieve geldboete. Deze kan oplopen tot 100.000 euro.

Conclusie: bescherm u via de juiste polissen

Als digitale dienstverlener draagt u bij een cyberaanval een dubbele pet: die van slachtoffer én (indien u aan de verplichtingen van de nieuwe Cybersecuritywet hebt verzaakt) die van verantwoordelijke.

Het is daarom  in eerste instantie cruciaal om ervoor te zorgen dat u de cyberrisico’s op een correcte manier inschat en tegelijk de nodige preventieve maatregelen neemt om ervoor te zorgen dat uw organisatie en al zijn belanghebbenden goed beschermd zijn. Daarnaast dient u in regel te zijn met de nieuwe verplichtingen die voortvloeien uit de NIS-wet.

Omdat geen enkel risico ooit helemaal uit te sluiten valt, adviseren wij ook om de volgende verzekeringsoplossingen af te sluiten:

  • Cyberpolis: deze biedt bescherming tegen de financiële gevolgen van een cyberaanval, betaalt administratieve geldboetes terug en voorziet in bijstand (IT, PR, juridisch) in geval van een cyberaanval.
  • Bestuurdersaansprakelijkheidsverzekering: deze beschermt de persoonlijke aansprakelijkheid van de bestuurder, zowel op strafrechtelijk als op administratief vlak.
  • Verzekering beroepsaansprakelijkheid en civielrechtelijke aansprakelijkheid: deze biedt bescherming tegen de financiële gevolgen van professionele fouten en claims van derde partijen.
Jonas Mannaerts