Dit gaat NIS2 betekenen voor jouw organisatie

NIS2 richtlijn uitgelegd


NIS2 wordt later dit jaar geïmplementeerd in de Cyberbeveiligingswet en richt zich vooral op organisaties die worden gezien als leverancier van essentiële diensten. In de NIS2-richtlijn is een aantal maatregelen voor het beheer van cyberbeveiligingsrisico’s opgenomen waaraan minimaal moet worden voldaan. Hoe kun je je organisatie op de komst van NIS2 voorbereiden?

Geschatte leestijd: 10 minuten

Brengt de NIS2 richtlijn een verplichting tot certificering voor toeleveranciers?

De nieuwe Europese richtlijn NIS2 scherpt de regelgeving aan op het gebied van cybersecurity. De reikwijdte van deze richtlijn wordt groter dan die van zijn voorganger en de boetes worden hoger. Met de introductie van de nieuwe Europese cybersecurity richtlijn wil de Europese Unie bedrijven dwingen hun cybersecurity op orde te brengen. De NIS2-richtlijn biedt bij de omzetting naar nationaal recht de mogelijkheid om van partijen die onder de regelgeving vallen, te eisen dat zij gecertificeerde ICT-producten gebruiken. 

NIS2 ofwel de NIB-richtlijn

In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS). Deze Europese Richtlijn EU 2016/1148 van 6 juli 2016, was de eerste EU-wetgeving op het gebied van cybersecurity. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze NIS stelt op het gebied van cybersecurity strenge eisen aan “essentiële bedrijven”. Dit zijn bijvoorbeeld energie- en telecombedrijven. 

Deze richtlijn wordt in het Nederlands ook wel aangehaald als “richtlijn netwerk- en informatiebeveiliging” en afgekort tot NIB.

Wat is het doel van NIS2? De NIS2 richtlijn is bedoeld om de uitvoering van het bestaande cybersecurity kader uit te breiden, te versterken en te harmoniseren.

Er is overigens een belangrijk verschil tussen een richtlijn, zoals hier de NIS2-richtlijn en een verordening, zoals bijvoorbeeld de AVG. Een Europese verordening heeft een algemene strekking en is verbindend in al haar onderdelen en is rechtstreeks van toepassing in iedere lidstaat. Een Europese richtlijn bevat een resultaatverplichting en is verbindend voor de lidstaten. Zij dienen hun nationale wetgeving zodanig aan te passen dat het doel van een richtlijn wordt gerealiseerd.

Wat houdt de nieuwe NIS2 richtlijn in?

Om de cybersecurity verder aan te scherpen, heeft het Europees Parlement op 28 november 2022 ingestemd met de herziene Network and Information Systems Directive (EU) 2022/0383 (NIS 2). NIS2 (of in het Nederlands, NIB2) is bedoeld om de uitvoering van het bestaande cybersecurity kader uit te breiden, te versterken en te harmoniseren. 

In de nieuwe NIS2-richtlijn zijn de beveiligingseisen verder aangescherpt, de beveiliging van toeleveringsketens aangepakt, de rapportageverplichtingen gestroomlijnd en strengere toezichtmaatregelen en handhavingsvereisten ingevoerd, waaronder geharmoniseerde sancties in de hele EU. In de NIS2-richtlijn is ook het toepassingsgebied uitgebreid, waardoor er meer entiteiten en sectoren verplicht zijn om maatregelen te nemen. Dit alles moet het niveau van cyberbeveiliging in Europa op de langere termijn verhogen.

NIS2 is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten. Daarnaast geeft de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. 

NIS2 breidt het toepassingsgebied van de NIS verder uit

Met NIS2 is het toepassingsgebied van de bestaande NIS-richtlijn uitgebreid. Diverse sectoren die van belang zijn voor de economie en samenleving zijn binnen de NIS2-richtlijn verplicht om maatregelen te nemen om cybersecurity risico’s te beheersen. De NIS2-richtlijn richt zich hierdoor op veel meer sectoren dan de oorspronkelijke NIS-richtlijn.

Informatie en specifieke voorbeelden van essentiële diensten

De NIS2 is van toepassing op alle middelgrote en grotere ondernemingen uit de sectoren zoals die in de bijlagen I en II van de NIS2-richtlijn zijn opgenomen.

zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT diensten (Business to Business), overheid en ruimtevaart.

Andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, chemische sector, levensmiddelensector, maaksector (specifieke takken daarbinnen), digitale aanbieders (zoals marktplaatsen), onderzoek.

Er is een onderscheid gemaakt tussen essentiële- en belangrijke sectoren. Voor beide gaan dezelfde eisen voor cybersecurity en rapportage gelden, maar de toezichts- en sanctieregelingen zullen verschillen. Voor de essentiële sectoren geldt er een zwaarder toezichtsregime dan voor de belangrijke sectoren.

NIS2 voor middelgrote en grotere ondernemingen

De NIS2-richtlijn richt zich in beginsel op organisaties die als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/ of een omzet van meer dan 10 miljoen euro per jaar. Dit op basis van art. 2 lid 1, van de bijlage bij Aanbeveling 2003/361/EG 

Deze zogenaamde “size cap” geldt echter niet voor organisaties in bepaalde sectoren. In art. 2 lid 2 van de NIS2-richtlijn wordt de richtlijn ook van toepassing verklaard op een aantal specifieke sectoren ongeacht de omvang daarvan. Een voorbeeld hiervan zijn verleners van domeinnaamregistratiediensten.

De NIS2-richtlijn richt zich dus vooral tot organisaties die gezien worden als leverancier van essentiële diensten. Hierbij lijkt het MKB te worden uitgezonderd maar voor bepaalde, specifieke ICT-diensten geldt de NIS2-richtlijn ook voor kleinere organisaties.

Organisaties zullen moeten gaan voldoen aan de regels van de lidstaten waar ze een vestiging hebben. Voor bepaalde digitale sectoren wordt er echter een één loketsysteem ingevoerd. Organisaties zullen daarbij slechts onderworpen zijn aan de regels van één land, nl. het land waar ze hun hoofdvestiging hebben.

De nieuwe Europese richtlijn NIS2 scherpt de regelgeving aan op het gebied van cybersecurity.

Passende maatregelen met minder open normen

De sectoren waarop de NIS2-richtlijn van toepassing is moeten, op grond van art. 21 lid 1 NIS2-richtlijn, passende en evenredige technische, operationele en organisatorische maatregelen nemen. Dit om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken. 

Nu denk je vast; waar blijven de open normen hiervoor zoals we die uit de AVG kennen? Dan heb ik een meevaller; de NIS2-richtlijn noemt in art. 21 lid 2 een aantal maatregelen waaraan minimaal moet zijn voldaan. 

Kortheidshalve noem ik een paar van de maatregelen: beleid inzake risicoanalyse en beveiliging van informatiesystemen, back-up beheer, de beveiliging van de toeleveringsketen, basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging, beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie, etc. Zie voor een compleet overzicht dus art. 21 lid 2 van de Richtlijn.

Daarbovenop komt de Europese Commissie nog met specifieke maatregelen voor o.a. DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten.

Brengt de NIS2 een verplichting tot certificering voor toeleveranciers?

Om aan te tonen dat aan de eisen van artikel 21 van de Richtlijn wordt voldaan, kunnen de lidstaten op grond van art. 24 van de Richtlijn eisen dat essentiële en belangrijke entiteiten bepaalde ICT-producten, ICT-diensten en ICT-processen gebruiken die door de essentiële of belangrijke entiteit zijn ontwikkeld of zijn gekocht bij derden die zijn gecertificeerd in het kader van Europese cyberbeveiligingscertificeringsregelingen die op grond van artikel 49 van Verordening (EU) 2019/881 zijn vastgesteld. Tevens worden de essentiële en belangrijke entiteiten aangemoedigd om gebruik te maken van gekwalificeerde vertrouwensdiensten.

NIS2 richt zich op de gehele toeleveringsketen. Ook organisaties die zelf niet zijn te typeren als essentieel, maar wel zaken doen met deze partijen, krijgen met de nieuwe richtlijn te maken. Ook kleine toeleveranciers in de MKB kunnen hierdoor te maken krijgen met de verplichtingen van de NIS2-richtlijn.

(…) Essentiële en belangrijke entiteiten moeten met name worden aangespoord om maatregelen voor het beheer van cyberbeveiligingsrisico’s op te nemen in de contractuele regelingen met hun directe leveranciers en dienstverleners. Die entiteiten kunnen ook risico’s in aanmerking nemen die voortvloeien uit de activiteiten van leveranciers en dienstverleners op een ander niveau.

Overweging 85 NIS2-richtlijn

Ik ben benieuwd hoe hieraan invulling wordt gegeven bij de omzetting naar nationaal recht.

Rapportageverplichtingen van incidenten

De NIS2-richtlijn brengt tal van rapportageverplichtingen met zich mee. Zo dient een incident binnen 24 uur te worden gemeld bij de toepasselijke autoriteiten, indien het incident de beschikbaarheid van de door haar aangeboden diensten heeft verstoord, en in elk geval binnen 72 uur in de andere genoemde gevallen in art. 24 van de Richtlijn. Van alle incidenten dient er binnen een maand na de eerste melding een eindverslag te worden ingediend.

Toezicht, handhaving en audits binnen NIS2 

Eerst even een verschil in de handhaving tussen die van de AVG en de NIS2. Handhaving van de AVG gebeurt op basis van een zogenaamd ex post sanctiebeleid. Dat houdt in dat er pas controles volgen als er aanleiding is. NIS2 wordt gehandhaafd op basis van het zogenaamde ex ante sanctiebeleid. Hier gaat het om een proactief beleid waarbij controles steekproefsgewijs kunnen worden uitgevoerd en niet per se als reactie op een incident.

In hoofdstuk 7 van de NIS2-richtlijn zijn de maatregelen opgenomen inzake toezicht en handhaving. Hierbij is er onderscheid gemaakt tussen essentiële- en belangrijke organisaties. Kortheidshalve noem ik twee in het oog springende verschillen.

Essentiële organisaties zijn op grond van art. 32 van de Richtlijn onderworpen aan inspecties ter plaatse en elders. Op verzoek moeten deze organisaties iedere vorm van informatie die nodig is om deze toezichttaken uit te voeren, aan de audit instantie overhandigen.

De belangrijke organisaties worden op grond van art. 33 van de Richtlijn alleen aan dergelijke audits onderworpen wanneer er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de voor hen vastgestelde NIS2-verplichtingen. In tegenstelling tot essentiële organisaties zijn belangrijke organisaties niet verplicht toegang te verlenen tot informatie voor controledoeleinden. 

Bestuurdersaansprakelijkheid en boetes onder de NIS2

Eveneens in hoofdstuk 7 zijn er in de NIS2-richtlijn boetemaatregelen opgekomen. 

Voor essentiële entiteiten kunnen deze boetes oplopen tot 10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten is dit 7 miljoen of 1,4% van de wereldwijde jaaromzet.

In art. 32 lid 6 van de Richtlijn is een opvallende bepaling opgenomen. Deze bepaling stelt dat iedere bestuurder van een organisatie bevoegd dient te zijn om security-maatregelen te nemen en dat deze bestuurders aansprakelijk kunnen worden gesteld wanneer zij de de NIS2-richtlijn niet naleven.

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.

Omzetting van NIS2 naar de Cyberbeveiligingswet naar verwachting in Q3 2025

De NIS2-richtlijn had uiterlijk 17 oktober 2024 moeten zijn omgezet in nationaal recht. In Nederland zou de Wet beveiliging netwerk- en informatiesystemen (Wbni) hiervoor aangepast worden.

De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. De Cyberbeveiligingswet zal gaan gelden voor essentiële en belangrijke entiteiten. Tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet hebben deze entiteiten bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT). Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas in zodra de Cyberbeveiligingswet in werking treedt.

De NIS2-richtlijn is sinds 17 oktober 2024 geldig in de Europese Unie. In Nederland is het niet gelukt om deze EU-richtlijn op tijd om te zetten in nationale wetgeving. De verwachting is dat Cyberbeveiligingswet in het 3e kwartaal van 2025 in werking zal treden.

Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.

Ga je al nu voorbereiden op de NIS2-richtlijn!

Je hoeft uiteraard niet te wachten om te investeren in cyberbeveiliging. Cyberbeveiliging is niet iets dat je doet om aan een standaard te voldoen. Het is een essentieel aspect van de bescherming van je onderneming. Je kunt je nu al op de komst van NIS2 voorbereiden. Op deze website is een handige zelfevaluatie tool te vinden die je vast al verder helpt.

tevens is er de intentie om de eisen van NIS2 te integreren in de herziene Baseline Informatiebeveiliging Overheid (BIO 2.0) en deze wettelijk te verankeren.

Heb je vragen over de NIS2-richtlijn, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.