Verplichte aanmelding in het kader van de NIS2-wet

Zoals eerder al aangehaald in het artikel "Publicatie van de NIS2-wet in het Belgisch Staatsblad" werd de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid ("wet NIS2") op vrijdag 17 mei gepubliceerd in het Belgisch Staatsblad. De NIS2-wet is een belangrijke stap om van België een van de minst cyberkwetsbare landen ter wereld te maken.

Voor wie?

De NIS2-richtlijn is gericht op organisaties van een bepaalde omvang die diensten verlenen in kritieke sectoren die zijn opgenomen in de bijlagen I en II van de richtlijn. De omvang ("size cap") en de geleverde dienst zijn de twee belangrijkste criteria om te bepalen of de NIS2-richtlijn van toepassing is op een organisatie.
De omvang van een entiteit wordt berekend op basis van bijlage I van Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 (de "Aanbeveling").
De organisatie moet een dienst verlenen die vermeld staat in bijlage I of II van de richtlijn (zelfs als deze dienst slechts een bijkomstig onderdeel van haar activiteiten is).
De NIS2-richtlijn maakt een verschil tussen "essentiële" en "belangrijke" entiteiten. Dit verschil wordt in principe gemaakt op basis van de omvang van de entiteit en de verleende dienst.

Verplichte aanmelding

Essentiële en belangrijke entiteiten moeten zich registreren op het CCB-portaal, Safeonweb@Work. De termijn voor registratie hangt af van het type entiteit. In principe hebben essentiële en belangrijke entiteiten, evenals aanbieders van domeinnaamregistratiediensten, 5 maanden de tijd om zich te registreren nadat de wet in werking is getreden, d.w.z. uiterlijk 18 maart 2025.

Bij de registratie moeten zij de volgende informatie verstrekken:

hun naam en hun registratienummer bij de KBO of een gelijkwaardige inschrijving in de Europese Unie;
hun adres en hun actuele contactgegevens, waaronder hun e-mailadres, hun IP-bereiken en hun telefoonnummer;
indien van toepassing, de relevante sector en deelsector bedoeld in bijlage I of II van de wet;
indien van toepassing, een lijst van de lidstaten waar zij diensten verlenen die binnen het toepassingsgebied van deze wet vallen

Er bestaat een uitzondering voor entiteiten die deze informatie al hebben doorgegeven aan een NIS2 sectorale overheid op grond van een wettelijke verplichting (de digitale sector). In dit geval hoeft de informatie alleen maar te worden aangevuld bij autoriteit. Als de informatie verandert, moet dit binnen twee weken worden doorgegeven.

Voor de volgende soorten entiteiten bestaat een licht aangepaste regeling:

DNS-dienstverleners
registers voor topleveldomeinnamen
entiteiten die domeinnaamregistratiediensten verlenen
aanbieders van cloudcomputingdiensten
aanbieders van datacentrumdiensten
aanbieders van netwerken voor de levering van inhoud
aanbieders van beheerde diensten
aanbieders van beheerde beveiligingsdiensten
aanbieders van onlinemarktplaatsen
aanbieders van onlinezoekmachines
aanbieders van platformen voor socialenetwerkdiensten

Zij moeten zich binnen 2 maanden na de inwerkingtreding van de wet, d.w.z. uiterlijk 18 december 2024, registreren en de volgende informatie verstrekken:

hun naam; Art. 13 NIS2-wet Art. 14 NIS2-wet FAQ NIS2 Verplichtingen Pagina 25 / 37
hun relevante sector, deelsector en soort entiteit bedoeld in bijlage I of II, waar van toepassing
het adres van hun hoofdvestiging en hun andere wettelijke vestigingen in de Unie of, indien deze niet in de Unie zijn gevestigd, van hun vertegenwoordiger
hun actuele contactgegevens, met inbegrip van e-mailadressen en telefoonnummers en, indien van toepassing van hun vertegenwoordiger
de lidstaten waar ze hun diensten verlenen die tot het toepassingsgebied van deze wet behoren
hun IP-bereiken. Ze moeten het CCB ook in kennis stellen van wijzigingen van deze informatie