De nieuwe Europese richtlijn NIS2 scherpt de regelgeving aan op het gebied van cybersecurity. Wat betekent dit voor ICT bedrijven en andere leveranciers in de keten?

NIS2: wat is het en wat betekent het voor toeleveranciers?


De nieuwe Europese richtlijn NIS2 scherpt de regelgeving aan, op het gebied van cybersecurity. De reikwijdte van deze richtlijn wordt groter dan die van zijn voorganger en de boetes worden hoger. Met de introductie van de nieuwe Europese cybersecurity richtlijn wil de Europese Unie bedrijven dwingen hun cybersecurity op orde te brengen.

De NIS2-richtlijn richt zich vooral op organisaties die gezien worden als leverancier van essentiële diensten. Hierbij lijkt het MKB te worden uitgezonderd maar voor bepaalde, specifieke ICT-diensten geldt de NIS2-richtlijn ook voor kleinere organisaties. In de NIS2-richtlijn is een aantal maatregelen voor het beheer van cyberbeveiligingsrisico’s opgenomen waaraan minimaal moet worden voldaan.

Geschatte leestijd: 9 minuten

NIS ofwel de NIB-richtlijn

In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS). Deze Europese Richtlijn EU 2016/1148 van 6 juli 2016, was de eerste EU-wetgeving op het gebied van cybersecurity. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze NIS stelt op het gebied van cybersecurity strenge eisen aan “essentiële bedrijven”. Dit zijn bijvoorbeeld energie- en telecombedrijven. 

Deze richtlijn wordt in het Nederlands ook wel aangehaald als “richtlijn netwerk- en informatiebeveiliging” en afgekort tot NIB.

Er is overigens een belangrijk verschil tussen een richtlijn, zoals hier de NIS-richtlijn en een verordening, zoals bijvoorbeeld de AVG. Een Europese verordening heeft een algemene strekking en is verbindend in al haar onderdelen en is rechtstreeks van toepassing in iedere lidstaat. Een Europese richtlijn bevat een resultaatverplichting en is verbindend voor de lidstaten. Zij dienen hun nationale wetgeving zodanig aan te passen dat het doel van een richtlijn kan worden gerealiseerd.

Wat houdt de nieuwe NIS2 richtlijn in?

Om de cybersecurity verder aan te scherpen, heeft het Europees Parlement op 28 november 2022 ingestemd met de herziene Network and Information Systems Directive (EU) 2022/0383 (NIS 2). NIS2 (of in het Nederlands, NIB2) is bedoeld om de uitvoering van het bestaande cybersecurity kader uit te breiden, te versterken en te harmoniseren. 

In de nieuwe NIS2-richtlijn worden de beveiligingseisen verder aangescherpt, de beveiliging van toeleveringsketens aangepakt, de rapportageverplichtingen gestroomlijnd en strengere toezichtmaatregelen en handhavingsvereisten ingevoerd, waaronder geharmoniseerde sancties in de hele EU. De NIS2-richtlijn heeft ook haar toepassingsgebied uitgebreid, waardoor er meer entiteiten en sectoren worden verplicht maatregelen te nemen. Dit alles moet het niveau van cyberbeveiliging in Europa op de langere termijn verhogen.

NIS2 breidt het toepassingsgebied van de NIS verder uit.

Met NIS2 wordt het toepassingsgebied van de bestaande NIS-richtlijn uitgebreid. Diverse sectoren die van belang zijn voor de economie en samenleving worden binnen de NIS2-richtlijn verplicht om maatregelen te nemen om cybersecurity risico’s te beheersen. De NIS2-richtlijn richt zich hierdoor op veel meer sectoren dan de oorspronkelijke NIS-richtlijn.

Essentiële- en belangrijke sectoren

De NIS2 is van toepassing op alle middelgrote en grotere ondernemingen uit de sectoren zoals die in de bijlagen I en II van de NIS2-richtlijn zijn opgenomen.

zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT diensten (Business to Business), overheid en ruimtevaart.

Bijlage I van de NIS-richtlijn

Andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, chemische sector, levensmiddelensector, maaksector (specifieke takken daarbinnen), digitale aanbieders (zoals marktplaatsen), onderzoek.

Bijlage II van de NIS-richtlijn

Er wordt vervolgens een onderscheid gemaakt tussen essentiële- en belangrijke sectoren.Voor beide gaan dezelfde eisen voor cybersecurity en rapportage gelden, maar de toezichts- en sanctieregelingen zullen verschillen. Voor de essentiële sectoren geldt er een zwaarder toezichtsregime dan voor de belangrijke sectoren.

Middelgrote en grotere ondernemingen

De NIS2-richtlijn richt zich in beginsel op organisaties die als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/ of een omzet van meer dan 10 miljoen euro per jaar. Dit op basis van art. 2 lid 1, van de bijlage bij Aanbeveling 2003/361/EG 

Deze zogenaamde “size cap” geldt echter niet voor organisaties in bepaalde sectoren. In art. 2 lid 2 van de NIS2-richtlijn wordt de richtlijn ook van toepassing verklaard op een aantal specifieke sectoren ongeacht de omvang daarvan. Een voorbeeld hiervan zijn verleners van domeinnaamregistratiediensten.

De NIS2-richtlijn richt zich dus vooral tot organisaties die gezien worden als leverancier van essentiële diensten. Hierbij lijkt het MKB te worden uitgezonderd maar voor bepaalde, specifieke ICT-diensten geldt de NIS2-richtlijn ook voor kleinere organisaties.

Passende maatregelen met minder open normen

De sectoren waarop de NIS2-richtlijn van toepassing is moeten, op grond van art. 21 lid 1 NIS2-richtlijn, passende en evenredige technische, operationele en organisatorische maatregelen nemen. Dit om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken. 

Nu denk je vast; waar blijven de open normen hiervoor zoals we die uit de AVG kennen? Dan heb ik een meevaller; de NIS2-richtlijn noemt in art. 21 lid 2 een aantal maatregelen waaraan minimaal moet worden voldaan. 

Kortheidshalve noem ik een paar van de maatregelen: beleid inzake risicoanalyse en beveiliging van informatiesystemen, back-up beheer, de beveiliging van de toeleveringsketen, basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging, beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie, etc. Zie voor een compleet overzicht dus art. 21 lid 2 van de Richtlijn.

Daarbovenop komt de Europese Commissie later nog (uiterlijk op 17 oktober 2024) met specifieke maatregelen voor o.a. DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten en aanbieders van beheerde beveiligingsdiensten.

Brengt de NIS2 een verplichting tot certificering voor toeleveranciers?

Om aan te tonen dat aan de eisen van artikel 21 van de Richtlijn wordt voldaan, kunnen de lidstaten op grond van art. 24 van de Richtlijn eisen dat essentiële en belangrijke entiteiten bepaalde ICT-producten, ICT-diensten en ICT-processen gebruiken die door de essentiële of belangrijke entiteit zijn ontwikkeld of zijn gekocht bij derden die zijn gecertificeerd in het kader van Europese cyberbeveiligingscertificeringsregelingen die op grond van artikel 49 van Verordening (EU) 2019/881 zijn vastgesteld. Tevens worden de essentiële en belangrijke entiteiten aangemoedigd om gebruik te maken van gekwalificeerde vertrouwensdiensten.

NIS2 richt zich op de gehele toeleveringsketen. Ook organisaties die zelf niet zijn te typeren als essentieel, maar wel zaken doen met deze partijen, krijgen met de nieuwe richtlijn te maken.

(…) Essentiële en belangrijke entiteiten moeten met name worden aangespoord om maatregelen voor het beheer van cyberbeveiligingsrisico’s op te nemen in de contractuele regelingen met hun directe leveranciers en dienstverleners. Die entiteiten kunnen ook risico’s in aanmerking nemen die voortvloeien uit de activiteiten van leveranciers en dienstverleners op een ander niveau.

Overweging 85 NIS2-richtlijn

Ik ben benieuwd hoe hieraan invulling wordt gegeven bij de omzetting naar nationaal recht.

Rapportageverplichtingen van incidenten

De NIS2-richtlijn brengt tal van rapportageverplichtingen met zich mee. Zo dient een incident binnen 24 uur te worden gemeld bij de toepasselijke autoriteiten, indien het incident de beschikbaarheid van de door haar aangeboden diensten heeft verstoord, en in elk geval binnen 72 uur in de andere genoemde gevallen in art. 24 van de Richtlijn. Van alle incidenten dient er binnen een maand na de eerste melding een eindverslag te worden ingediend.

Toezicht, handhaving en audits binnen NIS2 

Eerst even een verschil in de handhaving tussen die van de AVG en de NIS2. Handhaving van de AVG gebeurt op basis van een zogenaamd ex post sanctiebeleid. Dat houdt in dat er pas controles volgen als er aanleiding is. NIS2 wordt gehandhaafd op basis van het zogenaamde ex ante sanctiebeleid. Hier gaat het om een proactief beleid waarbij controles steekproefsgewijs kunnen worden uitgevoerd en niet per se als reactie op een incident.

In hoofdstuk 7 van de NIS2-richtlijn zijn de maatregelen opgenomen inzake toezicht en handhaving. Hierbij wordt er onderscheid gemaakt tussen essentiële- en belangrijke organisaties. Kortheidshalve noem ik twee in het oog springende verschillen.

Essentiële organisaties zijn op grond van art. 32 van de Richtlijn onderworpen aan inspecties ter plaatse en elders. Op verzoek moeten deze organisaties iedere vorm van informatie die nodig is om deze toezichttaken uit te voeren, aan de audit instantie overhandigen.

De belangrijke organisaties worden op grond van art. 33 van de Richtlijn alleen aan dergelijke audits onderworpen wanneer er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de voor hen vastgestelde NIS2-verplichtingen. In tegenstelling tot essentiële organisaties zijn belangrijke organisaties niet verplicht toegang te verlenen tot informatie voor controledoeleinden. 

Boetes en bestuurdersaansprakelijkheid

Eveneens in hoofdstuk 7 zijn er in de NIS2-richtlijn boetemaatregelen opgekomen. 

Voor essentiële entiteiten kunnen deze boetes oplopen tot 10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten is dit 7 miljoen of 1,4% van de wereldwijde jaaromzet.

In art. 32 lid 6 van de Richtlijn is een opvallende bepaling opgenomen. Deze bepaling stelt dat iedere bestuurder van een organisatie wettelijk bevoegd dient te zijn om security-maatregelen te nemen en dat deze bestuurders aansprakelijk kunnen worden gesteld wanneer zij de de NIS2-richtlijn niet naleven.

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.

Omzetting naar de Wbni

De NIS2-richtlijn moet uiterlijk 17 oktober 2024 zijn omgezet in nationaal recht. In Nederland zal de Wet beveiliging netwerk- en informatiesystemen (Wbni) hiervoor worden aangepast. Waar de NIS2-richtlijn keuzemogelijkheden biedt zal de invulling hiervan in de aangepaste Wbni terugkomen.

Meer weten?

Heb je vragen over de NIS2-richtlijn, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.