NIS2 komt er nu snel aan, vanaf 18 oktober treedt de nieuwe cyberbeveiligingswet in werking. Even opfrissen: NIS2 is een richtlijn rond cyberveiligheid die uitgevaardigd werd door de Europese Unie in 2022. Dit voorjaar werd die richtlijn door België omgezet in een nieuwe cyberbeveiligingswet (dit noemen we ook de Belgische NIS2-wet).
Vanaf 18 oktober moet onze sector daaraan voldoen. Of je nu DNS-diensten of enkel domeinnaamregistraties aanbiedt: die nieuwe wet heeft impact op ons allemaal. Registries en
registrars
moeten nieuwe procedures volgen en aan specifieke verplichtingen voldoen. Wij zetten alles voor jou op een rij.
Wie valt onder de Belgische NIS2-wetgeving?
- Registrars en resellers die in België gevestigd zijn.
- Registrars en resellers met een wettelijke EU-vertegenwoordiger in België.
Meer info over het toepassingsgebied van de NIS2-wetgeving, vind je op de website van het CCB.
Wat je zo snel mogelijk in orde moet brengen
Registreer je bij de nationale cyberbeveiligingsautoriteit, in België is dat het CCB.
Binnen de 2 maanden nadat de NIS2-wet van kracht wordt, moet je je organisatie verplicht registreren bij het CCB (artikel 14). Dit doe je m.a.w. ten laatste op 18 december 2024. Deze registratie is een verplichting voor alle registrars, resellers en registries. Registrars zonder hoofdzetel in België maar met een wettelijke vertegenwoordiging in ons land moeten dit ook in orde brengen.
Het profiel van je organisatie bepaalt aan welke NIS2-eisen je moet voldoen.
1. Je bent een DNS-dienstverlener.
Bied je m.a.w. recursive of authoritative nameserver diensten aan? Dan lever je een essentiële dienst en moet je over de hele lijn aan de NIS2-wetgeving voldoen. Samengevat komt dat op 2 zaken neer:
- Je neemt maatregelen voor risicobeheer (artikel 30). Dit zijn concrete acties die jouw organisatie neemt voor de bescherming van netwerk- en informatiesystemen.
- Je hebt de plicht om belangrijke incidenten te melden (artikel 34-35). Je volgt de wettelijk bepaalde procedures om meldingen te maken en volgt de maatregels om een herhaling van zo’n cybersecurity incident te voorkomen.
Deze vereisten kan je beter niet onderschatten en zijn gelijkaardig aan het behalen van een informatiebeveilingsstandaard (de zogenaamde ISO-certificatie). In de toepassing van deze wet zien we gelijkenissen met de ISO27001.
Opgelet! Bied je ook domeinnaamregistraties aan? Dan moet je ook aan artikel 94 voldoen, zie hieronder.
2. Je biedt domeinnaamregistraties aan, zónder nameserver diensten.
Dan moet je aan specifieke verplichtingen (artikel 94) voldoen rond het:
- bijhouden en verifiëren van contactgegevens van domeinnaamhouders
- publiceren van deze contactgegevens
- toegang geven tot deze contactgegevens, bij een gerechtvaardigde vraag (denk aan politiediensten, het gerecht enz.)
Elke registrar en reseller valt in één van de categorieën hierboven. Er is dus geen ontkomen aan NIS2, we raden jullie aan om hier niet licht over te gaan.
Je staat er niet alleen voor
- Waar mogelijk, willen we je ondersteunen bij het begrijpen van deze richtlijn en de impact op jou als registrar. Contacteer onze support collega’s bij vragen.
- De komende weken publiceren we gedetailleerde info over elk van de aangehaalde artikels uit de NIS-richtlijn die van toepassing zijn op jullie. Hier krijg je up-to-date informatie over de toepassing van NIS2 in België.
- Ondertussen kan je ook bij het CCB terecht voor informatiesessies over NIS2. Op hun website loodst het CCB je ook in enkele stappen door een risicobeoordeling. Zo weet je duidelijk welk niveau van cyberbeveiliging je moet behalen, als Belgische registrar of reseller.
- Als registry willen we het voortouw nemen als het gaat om het verifiëren, bijhouden, publiceren van en toegang geven tot contactgegevens van domeinnaamhouders (artikel 28). Waar het kan, beperken we het werk bij jullie als registrar. Daarover volgt meer info in de komende maanden.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.