Het Decreet over het lokaal bestuur van 22 december 2017, artikel 84, § 1.
Wet van 26 april 2024: 'Wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid' - ook NIS2-wet genaamd.
Sinds 16 januari 2023 is de zogenaamde NIS2-richtlijn van toepassing, dewelke werd omgezet in Belgische regelgeving (de NIS2-wet). Het doel van deze regelgeving is het versterken van maatregelen op het gebied van cyberveiligheid, incidentbeheer en toezicht voor entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. De wet heeft ook als doel de coördinatie van overheidsbeleid op het gebied van cyberveiligheid te verbeteren.
Er is een verplicht registratiemechanisme, waarbij entiteiten die onder de regelgeving vallen, zich moeten registreren vóór 18 maart 2025.
De richtlijn maakt een onderscheid tussen verschillende niveaus van kriticiteit. Deze indeling - basis, belangrijk, essentieel - wordt bepaald op basis van de impact van een mogelijke cyberaanval op de dienstverlening, het niveau van de afhankelijkheid van de organisatie door burgers en bedrijven, specifieke sectorale risicobeoordelingen door de nationale en Europese autoriteiten. Het Centrum voor Cybersecurity bepaalt deze classificatie.
Van essentiële en belangrijke entiteiten wordt verwacht dat ze passende maatregelen nemen om de risico's te beheersen voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of voor het verlenen van hun diensten gebruiken, en maatregelen om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
De impact van onder welke classificatie (basis, belangrijk of essentieel) de entiteit valt gaat o.a. over hoe uitgebreid het risicobeheersproces moet zijn, hoe streng de technische en organisatorische maatregelen worden vereist, hoe strikt de governance moet worden bepaald, hoeveel compliance-audits nodig zijn, enz. Deze vereisten zijn gedefinieerd in het 'Cyber Fundamentals Framework'.
Toepassingsgebied:
Om onder de NIS2- wet te vallen, moet een organisatie in principe:
1. In de Europese Unie een dienst verlenen die is opgenomen in bijlagen I en II van de NIS2-wet én
2. ten minste 50 arbeidsjaareenheden (AJE) of meer dan 10 miljoen euro jaaromzet/ jaarlijks balanstotaal hebben.
De lokale besturen vallen niet onder de NIS2 wetgeving, behalve als ze activiteiten uitvoeren in (zeer) kritieke sectoren.
Toegepast op Stad en OCMW Gent:
Elke rechtspersoon, met een eigen KBO-nummer, moet zich registreren. Dit betekent dat de analyse afzonderlijk voor Stad Gent én OCMW Gent moet worden gemaakt, alsook de registratie voor beide entiteiten gebeurt afzonderlijk.
Analyse volgens de bepalingen uit de NIS2-wet:
Zie ook bijlage 'NIS2 scope bepaling Stad Gent'.
1. Zowel Stad Gent als OCMW Gent voeren activiteiten in de 'Gezondheidszorg' uit, opgenomen in bijlage I van de NIS2-wet: via het Medisch Sociaal Opvangcentrum (MSOC) en het uitbaten van woonzorgcentra (WZC's).
Stad Gent/ departement Facility Management neemt taken op in digitale infrastructuur (voorzien van elektriciteit en omgeving - bijv. toegangsbeheer - voor de datacenters van FM), opgenomen in bijlage I van de NIS2-wet.
2. Zowel Stad als OCMW Gent worden als een grote onderneming beschouwd, gezien het aantal werkzame personen ten minste gelijk is aan 250 AJE en het jaarlijks balanstotaal meer is dan 43 miljoen euro.
Conclusie:
Als de bepalingen op Stad en OCMW Gent worden toegepast, is de conclusie dat beide entiteiten moeten worden geregistreerd als 'essentieel'.
Opmerking: dit betekent niet dat voor elk risico ook de maatregelen zullen moeten worden geïmplementeerd op het zekerheidsniveau 'essentieel'. Na risicoanalyse kan de entiteit zelf bepalen wat het risico is en de maatregelen die nodig zijn voor dat onderdeel, deze analyse wordt dan onderworpen aan een audit. De VVSG publiceerde bijv. op haar website dat 'Volgens het CCB OCMW's die enkel een woonzorgcentrum beheren, alleen het basisniveau van het 'Cyber Fundamentals Framework moeten invoeren'.
In het geval er nieuwe factoren zijn die een impact hebben op welk niveau Stad en OCMW Gent moeten worden geregistreerd, dan kan de registratie - mits motivatie - op elk moment worden aangepast.
Artikel 13 van de Wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, stelt dat de entiteiten zicht moeten registreren uiterlijk op 18 maart 2025.
Keurt goed dat OCMW Gent als een 'essentiële' entiteit wordt geregistreerd onder de NIS2-wet.