NIS2: de beveiligings- en opleidingseisen


De NIS2-richtlijn noemt tal van eisen inzake beveiliging en opleiding. Deze zijn zowel in de artikelen van de NIS2-richtlijn terug te vinden als in de vele overwegingen die bij de NIS2-richtlijn zijn opgenomen. Opvallend is dat NIS2 zich rechtstreeks tot het bestuur van organisaties richt. Bestuursorganen dienen de cybersecuritymaatregelen goed te keuren, toe te zien op de uitvoering ervan en moeten bovendien aansprakelijk kunnen worden gehouden indien de organisatie zich niet aan de beveiligingsplicht houdt.

Geschatte leestijd: 5 minuten

Voor wie gaat NIS2 gelden? Hoe moet ik me voorbereiden op NIS2? Welke beveiligings- en opleidingseisen brengt NIS2 met zich mee? Zomaar een paar vragen die mij de laatste tijd regelmatig worden gesteld. In een eerder artikel heb ik vooral uiteengezet wat de NIS2 is. In dit artikel ga ik even wat specifieker in op de vraag het zit met beveiligings- en opleidingseisen die uit de NIS2-richtlijn voortkomen. Eerst ga ik nog een keer kort in op de vraag voor welke organisaties NIS2 gaat gelden.

Voor wie gaat de NIS2-richtlijn gelden?

Onder NIS1 wordt verschil gemaakt tussen aanbieders van essentiële diensten en digitale dienstverleners. In NIS2 komt dit onderscheid te vervallen. In plaats daarvan maakt NIS2 onderscheid tussen zogenaamde “essentiële” en “belangrijke” entiteiten.

Het verschil tussen deze twee groepen van organisaties heeft vooral betrekking op de wijze van toezicht en van handhaving.  Bij de essentiële entiteiten is het toezicht actief en bij de belangrijke entiteiten is dit reactief.

Het aantal sectoren waarop NIS2 betrekking is uitgebreid ten opzichte van NIS1. NIS2 wijst tientallen soorten entiteiten aan, verspreid over elf zeer kritieke sectoren en zeven andere kritieke sectoren. Een overzicht van deze organisaties is terug te vinden in de bijlagen I en II bij NIS2.

De NIS2-richtlijn richt zich in beginsel op organisaties die als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/ of een omzet van meer dan 10 miljoen euro per jaar.  Deze zogenaamde “size cap” geldt echter niet voor organisaties in bepaalde sectoren. In art. 2 lid 2 van de NIS2-richtlijn wordt de richtlijn ook van toepassing verklaard op een aantal specifieke sectoren ongeacht de omvang daarvan. Een voorbeeld hiervan zijn verleners van domeinnaamregistratiediensten.

Hieronder kort samengevat wanneer een organisatie als essentiële- of als belangrijke entiteit wordt gezien. Let erop dat ook andere organisatie kunnen worden aangewezen en dat bepaalde kleine organisaties wel onder NIS2 vallen zoals aanbieders van vertrouwensdiensten, registers voor topleveldomeinnamen, verleners van domeinnaamregistratiediensten, etc. 

Essentiële entiteiten zijn grote organisaties die actief zijn in een sector zoals genoemd in bijlage I van de NIS2-richtlijn. Een organisatie is groot wanneer deze meer dan 250 werknemers heeft of een netto omzet heeft van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.

Belangrijke entiteiten zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en organisaties die actief zijn in een sector uit bijlage II van de NIS2-richtlijn. Een organisatie is middelgroot wanneer deze over minimaal 50 werknemers beschikt of een jaaromzet of balanstotaal heeft van meer dan 10 miljoen euro.

Beveiligingsplicht en opleidingseisen binnen NIS2

De NIS2-richtlijn bevat een zorgplicht die organisaties verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen dienen te nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

De NIS2-richtlijn richt zich in artikel 20 lid 1 rechtstreeks tot het bestuur van de organisaties. Bestuursorganen dienen de cybersecuritymaatregelen goed te keuren, toe te zien op de uitvoering ervan en kunnen aansprakelijk kunnen worden gehouden indien de organisatie zich niet aan de beveiligingsplicht houdt. Tevens schrijft artikel 20 lid 2 voor dat bestuurders zich scholen op het gebied van cybersecurityopleiding.

Art. 20 lid 2 NIS2 noemt een scholingsplicht voor bestuurders op het gebied van cybersecurity.

NIS2 geeft meer duiding aan de norm van “passende technische en organisatorische maatregelen’ dan dat de NIS1 doet. Deze open normen vinden we ook in de AVG terug. Bij het nemen van maatregelen moeten organisaties rekening houden met onder meer de stand van de techniek, en de uitvoeringskosten. De maatregelen moeten steeds zijn afgestemd op het risico. Welke maatregelen moeten worden getroffen hangt in belangrijke mate af van een risicobeoordeling. 

Het maakt overigens niet uit of je als organisatie het beheer van het ICT-omgeving hebt uitbesteed aan een derde. Dit wordt in overweging 83 bij de NIS2 richtlijn benadrukt.

Essentiële en belangrijke entiteiten moeten de beveiliging van de netwerk- en informatiesystemen die zij bij hun activiteiten gebruiken, waarborgen. Die systemen zijn voornamelijk particuliere netwerk- en informatiesystemen die door de interne IT-medewerkers van essentiële en belangrijke entiteiten worden beheerd of waarvan de beveiliging is uitbesteed. De maatregelen voor het beheer van cyberbeveiligingsrisico’s en de rapportageverplichtingen die in deze richtlijn zijn vastgesteld, moeten van toepassing zijn op de relevante essentiële en belangrijke entiteiten, ongeacht of deze entiteiten het onderhoud van hun netwerk- en informatiesystemen intern uitvoeren of uitbesteden.

Overweging 83 bij de NIS2-richtlijn

De maatregelen die door een organisatie getroffen dienen te worden moeten betrekking hebben op “alle gevaren”.  Dit omvat zowel de informatiesystemen als ook de fysieke omgeving moeten worden beschermd. Dit komt terug in artikel 21 lid 2 van de NIS2-richtlijn en in overweging 79.

Aangezien bedreigingen voor de beveiliging van netwerk- en informatiesystemen uit verschillende hoeken kunnen komen, moeten maatregelen voor het beheer van cyberbeveiligingsrisico’s gebaseerd zijn op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen (…). Bij de maatregelen voor het beheer van cyberbeveiligingsrisico’s moet daarom ook aandacht worden besteed aan de fysieke en omgevingsbeveiliging (…) overeenkomstig de Europese en internationale normen, zoals die in de ISO/IEC 27000-reeks. In dat verband moeten essentiële en belangrijke entiteiten in het kader van hun maatregelen voor het beheer van cyberbeveiligingsrisico’s ook aandacht besteden aan beveiliging van het personeel en een passend toegangsbeleid voeren. Deze maatregelen moeten in overeenstemming zijn met Richtlijn (EU) 2022/2557.

Overweging 79 bij de NIS2-richtlijn

NIS2 schrijft in artikel 21 lid 2 verder een aantal concrete basismaatregelen voor, waaronder risicobeleid, incidentenbehandeling, back-up beheer en noodvoorzieningsplannen, cyberhygiëne, opleidingen, beleid voor encryptie, multifactor-authenticatie en beveiligde noodcommunicatiesystemen.

Andere basismaatregelen die organisaties moeten toepassen worden gegeven in overweging 89, zoals het toepassen van zero trust-beginselen, software-updates, configuratie van apparaten, netwerksegmentatie, het vergroten van bewustzijn van cyberdreigingen, etc.

Essentiële en belangrijke entiteiten moeten een breed scala aan basispraktijken op het gebied van cyberhygiëne toepassen, zoals zero trust-beginselen, software-updates, configuratie van apparaten, netwerksegmentatie, identiteits- en toegangsbeheer of gebruikersbewustzijn, opleidingen voor hun personeel organiseren en het bewustzijn van cyberdreigingen, phishing of socialengineeringtechnieken vergroten. (…).

Overweging 89 bij de NIS2-richtlijn

NIS2 en de Toeleveringsketen

De NIS2-richtlijn heeft op dit gebied ook aandacht voor de toeleveringsketen. Organisaties voor wie de NIS2 van toepassing worden aangespoord om cybersecuritymaatregelen overeen te komen in de contracten met hun leveranciers en dienstverleners. Dit is terug te vinden in artikel 21 lid 2 NIS2 en in overweging 85. De nadruk op de toeleveringsketen is van belang doordat beveiligingsproblemen zich vaak niet bij de organisaties zelf voordoen, maar bij een leverancier of een onderaannemer.

(…) Essentiële en belangrijke entiteiten moeten daarom de algemene kwaliteit en weerbaarheid van de producten en diensten, de daarin vervatte maatregelen voor het beheer van cyberbeveiligingsrisico’s, en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners beoordelen en er rekening mee houden, met inbegrip van hun veilige ontwikkelingsprocedures. Essentiële en belangrijke entiteiten moeten met name worden aangespoord om maatregelen voor het beheer van cyberbeveiligingsrisico’s op te nemen in de contractuele regelingen met hun directe leveranciers en dienstverleners. (…)

Overweging 85 bij de NIS2-richtlijn

Omzetting van de NIS2-richtlijn naar de Wbni

De NIS2-richtlijn moet uiterlijk 17 oktober 2024 zijn omgezet in nationaal recht. In Nederland zal de Wet beveiliging netwerk- en informatiesystemen (Wbni) hiervoor aangepast worden. Waar de NIS2-richtlijn keuzemogelijkheden biedt zal de invulling hiervan in de aangepaste Wbni terugkomen. In dit artikel vindt je hierover meer informatie en kun je lezen dat dit traject vertraging oploopt.

Meer weten?

Heb je vragen over de NIS2-richtlijn, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.