NIS2 richtlijn uitgelegd
NIS2 richt zich vooral op organisaties die worden gezien als leverancier van essentiële diensten. Hierbij lijkt het MKB uitgezonderd te worden. Voor specifieke ICT-diensten geldt de NIS2-richtlijn ook voor kleinere organisaties. In de NIS2-richtlijn is een aantal maatregelen voor het beheer van cyberbeveiligingsrisico’s opgenomen waaraan minimaal moet worden voldaan.
Geschatte leestijd: 9 minuten
Brengt de NIS2 richtlijn een verplichting tot certificering voor toeleveranciers?
De nieuwe Europese richtlijn NIS2 scherpt de regelgeving aan op het gebied van cybersecurity. De reikwijdte van deze richtlijn wordt groter dan die van zijn voorganger en de boetes worden hoger. Met de introductie van de nieuwe Europese cybersecurity richtlijn wil de Europese Unie bedrijven dwingen hun cybersecurity op orde te brengen. De NIS2-richtlijn biedt bij de omzetting naar nationaal recht de mogelijkheid om van partijen die onder de regelgeving vallen, te eisen dat zij gecertificeerde ICT-producten gebruiken.
NIS2 ofwel de NIB-richtlijn
In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS). Deze Europese Richtlijn EU 2016/1148 van 6 juli 2016, was de eerste EU-wetgeving op het gebied van cybersecurity. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze NIS stelt op het gebied van cybersecurity strenge eisen aan “essentiële bedrijven”. Dit zijn bijvoorbeeld energie- en telecombedrijven.
Deze richtlijn wordt in het Nederlands ook wel aangehaald als “richtlijn netwerk- en informatiebeveiliging” en afgekort tot NIB.
Er is overigens een belangrijk verschil tussen een richtlijn, zoals hier de NIS2-richtlijn en een verordening, zoals bijvoorbeeld de AVG. Een Europese verordening heeft een algemene strekking en is verbindend in al haar onderdelen en is rechtstreeks van toepassing in iedere lidstaat. Een Europese richtlijn bevat een resultaatverplichting en is verbindend voor de lidstaten. Zij dienen hun nationale wetgeving zodanig aan te passen dat het doel van een richtlijn wordt gerealiseerd.
Wat houdt de nieuwe NIS2 richtlijn in?
Om de cybersecurity verder aan te scherpen, heeft het Europees Parlement op 28 november 2022 ingestemd met de herziene Network and Information Systems Directive (EU) 2022/0383 (NIS 2). NIS2 (of in het Nederlands, NIB2) is bedoeld om de uitvoering van het bestaande cybersecurity kader uit te breiden, te versterken en te harmoniseren.
In de nieuwe NIS2-richtlijn zijn de beveiligingseisen verder aangescherpt, de beveiliging van toeleveringsketens aangepakt, de rapportageverplichtingen gestroomlijnd en strengere toezichtmaatregelen en handhavingsvereisten ingevoerd, waaronder geharmoniseerde sancties in de hele EU. In de NIS2-richtlijn is ook het toepassingsgebied uitgebreid, waardoor er meer entiteiten en sectoren verplicht zijn om maatregelen te nemen. Dit alles moet het niveau van cyberbeveiliging in Europa op de langere termijn verhogen.
NIS2 breidt het toepassingsgebied van de NIS verder uit
Met NIS2 is het toepassingsgebied van de bestaande NIS-richtlijn uitgebreid. Diverse sectoren die van belang zijn voor de economie en samenleving zijn binnen de NIS2-richtlijn verplicht om maatregelen te nemen om cybersecurity risico’s te beheersen. De NIS2-richtlijn richt zich hierdoor op veel meer sectoren dan de oorspronkelijke NIS-richtlijn.
Informatie en specifieke voorbeelden van essentiële diensten
De NIS2 is van toepassing op alle middelgrote en grotere ondernemingen uit de sectoren zoals die in de bijlagen I en II van de NIS2-richtlijn zijn opgenomen.
zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT diensten (Business to Business), overheid en ruimtevaart.
Andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, chemische sector, levensmiddelensector, maaksector (specifieke takken daarbinnen), digitale aanbieders (zoals marktplaatsen), onderzoek.
Er is een onderscheid gemaakt tussen essentiële- en belangrijke sectoren. Voor beide gaan dezelfde eisen voor cybersecurity en rapportage gelden, maar de toezichts- en sanctieregelingen zullen verschillen. Voor de essentiële sectoren geldt er een zwaarder toezichtsregime dan voor de belangrijke sectoren.
NIS2 voor middelgrote en grotere ondernemingen
De NIS2-richtlijn richt zich in beginsel op organisaties die als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/ of een omzet van meer dan 10 miljoen euro per jaar. Dit op basis van art. 2 lid 1, van de bijlage bij Aanbeveling 2003/361/EG
Deze zogenaamde “size cap” geldt echter niet voor organisaties in bepaalde sectoren. In art. 2 lid 2 van de NIS2-richtlijn wordt de richtlijn ook van toepassing verklaard op een aantal specifieke sectoren ongeacht de omvang daarvan. Een voorbeeld hiervan zijn verleners van domeinnaamregistratiediensten.
De NIS2-richtlijn richt zich dus vooral tot organisaties die gezien worden als leverancier van essentiële diensten. Hierbij lijkt het MKB te worden uitgezonderd maar voor bepaalde, specifieke ICT-diensten geldt de NIS2-richtlijn ook voor kleinere organisaties.
Organisaties zullen moeten gaan voldoen aan de regels van de lidstaten waar ze een vestiging hebben. Voor bepaalde digitale sectoren wordt er echter een één loketsysteem ingevoerd. Organisaties zullen daarbij slechts onderworpen zijn aan de regels van één land, nl. het land waar ze hun hoofdvestiging hebben.
Passende maatregelen met minder open normen
De sectoren waarop de NIS2-richtlijn van toepassing is moeten, op grond van art. 21 lid 1 NIS2-richtlijn, passende en evenredige technische, operationele en organisatorische maatregelen nemen. Dit om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
Nu denk je vast; waar blijven de open normen hiervoor zoals we die uit de AVG kennen? Dan heb ik een meevaller; de NIS2-richtlijn noemt in art. 21 lid 2 een aantal maatregelen waaraan minimaal moet zijn voldaan.
Kortheidshalve noem ik een paar van de maatregelen: beleid inzake risicoanalyse en beveiliging van informatiesystemen, back-up beheer, de beveiliging van de toeleveringsketen, basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging, beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie, etc. Zie voor een compleet overzicht dus art. 21 lid 2 van de Richtlijn.
Daarbovenop komt de Europese Commissie later nog (uiterlijk op 17 oktober 2024) met specifieke maatregelen voor o.a. DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten.
Brengt de NIS2 een verplichting tot certificering voor toeleveranciers?
Om aan te tonen dat aan de eisen van artikel 21 van de Richtlijn wordt voldaan, kunnen de lidstaten op grond van art. 24 van de Richtlijn eisen dat essentiële en belangrijke entiteiten bepaalde ICT-producten, ICT-diensten en ICT-processen gebruiken die door de essentiële of belangrijke entiteit zijn ontwikkeld of zijn gekocht bij derden die zijn gecertificeerd in het kader van Europese cyberbeveiligingscertificeringsregelingen die op grond van artikel 49 van Verordening (EU) 2019/881 zijn vastgesteld. Tevens worden de essentiële en belangrijke entiteiten aangemoedigd om gebruik te maken van gekwalificeerde vertrouwensdiensten.
NIS2 richt zich op de gehele toeleveringsketen. Ook organisaties die zelf niet zijn te typeren als essentieel, maar wel zaken doen met deze partijen, krijgen met de nieuwe richtlijn te maken. Ook kleine toeleveranciers in de MKB kunnen hierdoor te maken krijgen met de verplichtingen van de NIS2-richtlijn.
(…) Essentiële en belangrijke entiteiten moeten met name worden aangespoord om maatregelen voor het beheer van cyberbeveiligingsrisico’s op te nemen in de contractuele regelingen met hun directe leveranciers en dienstverleners. Die entiteiten kunnen ook risico’s in aanmerking nemen die voortvloeien uit de activiteiten van leveranciers en dienstverleners op een ander niveau.
Overweging 85 NIS2-richtlijn
Ik ben benieuwd hoe hieraan invulling wordt gegeven bij de omzetting naar nationaal recht.
Rapportageverplichtingen van incidenten
De NIS2-richtlijn brengt tal van rapportageverplichtingen met zich mee. Zo dient een incident binnen 24 uur te worden gemeld bij de toepasselijke autoriteiten, indien het incident de beschikbaarheid van de door haar aangeboden diensten heeft verstoord, en in elk geval binnen 72 uur in de andere genoemde gevallen in art. 24 van de Richtlijn. Van alle incidenten dient er binnen een maand na de eerste melding een eindverslag te worden ingediend.
Toezicht, handhaving en audits binnen NIS2
Eerst even een verschil in de handhaving tussen die van de AVG en de NIS2. Handhaving van de AVG gebeurt op basis van een zogenaamd ex post sanctiebeleid. Dat houdt in dat er pas controles volgen als er aanleiding is. NIS2 wordt gehandhaafd op basis van het zogenaamde ex ante sanctiebeleid. Hier gaat het om een proactief beleid waarbij controles steekproefsgewijs kunnen worden uitgevoerd en niet per se als reactie op een incident.
In hoofdstuk 7 van de NIS2-richtlijn zijn de maatregelen opgenomen inzake toezicht en handhaving. Hierbij is er onderscheid gemaakt tussen essentiële- en belangrijke organisaties. Kortheidshalve noem ik twee in het oog springende verschillen.
Essentiële organisaties zijn op grond van art. 32 van de Richtlijn onderworpen aan inspecties ter plaatse en elders. Op verzoek moeten deze organisaties iedere vorm van informatie die nodig is om deze toezichttaken uit te voeren, aan de audit instantie overhandigen.
De belangrijke organisaties worden op grond van art. 33 van de Richtlijn alleen aan dergelijke audits onderworpen wanneer er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de voor hen vastgestelde NIS2-verplichtingen. In tegenstelling tot essentiële organisaties zijn belangrijke organisaties niet verplicht toegang te verlenen tot informatie voor controledoeleinden.
Bestuurdersaansprakelijkheid en boetes onder de NIS2
Eveneens in hoofdstuk 7 zijn er in de NIS2-richtlijn boetemaatregelen opgekomen.
Voor essentiële entiteiten kunnen deze boetes oplopen tot 10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten is dit 7 miljoen of 1,4% van de wereldwijde jaaromzet.
In art. 32 lid 6 van de Richtlijn is een opvallende bepaling opgenomen. Deze bepaling stelt dat iedere bestuurder van een organisatie bevoegd dient te zijn om security-maatregelen te nemen en dat deze bestuurders aansprakelijk kunnen worden gesteld wanneer zij de de NIS2-richtlijn niet naleven.
De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.
Omzetting van NIS2 naar de Wbni vertraagd
De NIS2-richtlijn moet uiterlijk 17 oktober 2024 zijn omgezet in nationaal recht. In Nederland zal de Wet beveiliging netwerk- en informatiesystemen (Wbni) hiervoor aangepast worden. Waar de NIS2-richtlijn keuzemogelijkheden biedt zal de invulling hiervan in de aangepaste Wbni terugkomen.
De demissionair minister van Justitie en Veiligheid heeft recent in een brief aan de Tweede Kamer laten weten dat het wetsvoorstel voor aanpassing van de Wbni naar verwachting voor de zomer van 2024 in consultatie wordt gebracht. Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeer de minister dat de implementatiedeadline van de Europese Commissie voor NIS2, te weten 17 oktober 2024, niet wordt gehaald.
Ga je al nu voorbereiden op de NIS2-richtlijn!
Je hoeft uiteraard niet tot 2024 te wachten om te investeren in cyberbeveiliging. Cyberbeveiliging is niet iets dat je doet om aan een standaard te voldoen. Het is een essentieel aspect van de bescherming van je onderneming. Je kunt je nu al op de komst van NIS2 voorbereiden. Op deze website is een handige zelfevaluatie tool te vinden die je vast al verder helpt.
Demissionair staatssecretaris van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft de intentie om de eisen van NIS2 te integreren in de herziene Baseline Informatiebeveiliging Overheid (BIO 2.0) en deze wettelijk te verankeren.
Heb je vragen over de NIS2-richtlijn, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.