De Nederlandse wetgeving die de NIS 2-richtlijn (NIS 2) implementeert zal waarschijnlijk eind 2024 of begin 2025 van kracht zijn. Veel mensen verwachten dat NIS 2 een enorme impact gaat hebben op het niveau van cybersecurity voor veel verschillende sectoren en NIS 2 wordt hier en daar al gezien als “de AVG van de cybersecurity”. In deze blog geven wij meer informatie over NIS 2, gaan wij in op de laatste stand van zaken en de te verwachten tijdslijnen.
NIS 2
NIS staat voor Network and Information Systems. NIS 2 ziet voornamelijk op het verbeteren van de digitale weerbaarheid van Europese lidstaten en moet leiden tot een betere Europese harmonisatie en een hoger niveau van informatiebeveiliging en cybersecurity bij private en publieke organisaties.
De voorloper van NIS 2 is in Nederland in 2016 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), deze eerdere richtlijn stond bekend als de NIS- of NIB-richtlijn. Als er verwezen wordt naar de nieuwe richtlijn, dan wordt vaak nog steeds “NIS” gebruikt (en de afkorting is dus NIS 2). In de titel van de nieuwe richtlijn staat echter geen specifieke verwijzing meer naar Network and Information Systems. In de Nederlandse vertaling staat nu: “maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging”. De vraag is of “NIS” de lading wel voldoende dekt, maar dat terzijde. In de kern gaat het om het verhogen van het niveau van informatiebeveiliging en cybersecurity.
Naast een focus op de cybersecurity van publieke en private organisaties ziet NIS 2 ook op een verbetering van de samenwerking tussen nationale overheden van EU-lidstaten. Onder andere door het opzetten of verbeteren van samenwerkingsprogramma’s en het uitwisselen van kwetsbaarheden.
Door de verdere digitalisering en de (grensoverschrijdende) onderlinge verbondenheid is het cyberdreigingslandschap verder uitgebreid. Dit brengt nieuwe uitdagingen met zich mee en vraagt om aanvullende en breder toegepaste maatregelen. NIS 2 ziet hierop en probeert dit te bereiken door middel van implementatie in nationale wetgeving.
Toepassingsgebied
Het aantal organisaties dat onder NIS 2 valt is toegenomen. Het gaat, onder meer, om organisaties die actief zijn in de sectoren zoals genoemd in bijlage I en II van NIS 2. Dit zijn:
Daarnaast moet een organisatie gekenmerkt worden als een essentiële entiteit of een belangrijke entiteit volgens de volgende criteria:
Essentiële entiteit
- Actief in een sector genoemd in bijlage I van NIS 2 en
- een “grote” organisatie: 250 personen of meer of een jaaromzet van meer dan EUR 50 miljoen en een balanstotaal boven EUR 43 miljoen
Belangrijke entiteit
- Actief in een sector genoemd in bijlage I van NIS 2 en
- een “middelgrote” organisatie: 50 - 249 personen met een jaaromzet van EUR 10 - 50 miljoen of een balanstotaal van EUR 10 - 43 miljoen
of
- Actief in een sector genoemd in bijlage II van NIS 2 en
- een grote of middelgrote organisatie op basis van bovengenoemde criteria
Er zijn een aantal uitzonderingen waarvoor de omvangcriteria niet van toepassing zijn zoals aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die als kritiek worden gezien of systeemrisico’s kennen en centrale overheidsinstanties.
Het voornaamste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een intensiever regime van toezicht vallen. Deze vorm van toezicht op de naleving van verplichtingen kan zowel vooraf als achteraf plaatsvinden. Bij belangrijke entiteiten geldt een lichter regime waarbij er sprake is van toezicht achteraf of als er indicaties zijn van non-compliance met NIS 2 of bijvoorbeeld bij incidenten.
Kleine ondernemingen of micro-ondernemingen zullen niet snel onder het toepassingsgebied van NIS 2 vallen. Dit kan wel anders zijn als hun product of dienst van cruciaal belang is en de onderneming aangewezen wordt door een ministerie, waardoor NIS 2 dus wel van toepassing wordt.
Cybersecuritymaatregelen
NIS 2 schrijft voor dat er maatregelen genomen moeten worden voor het beheren van cyberbeveiligingsrisico’s. Dit kan risico-gebaseerd, waarbij er rekening gehouden kan worden met de stand van de techniek en de uitvoeringskosten. NIS 2 bevat maatregelen die minimaal geïmplementeerd moeten worden. Onder andere de volgende maatregelen worden genoemd in NIS 2:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit;
- beveiliging van de toeleveranciersketen;
- cyberhygiëne en training op het gebied van cybersecurity;
- toegangsbeleid;
- multifactor-authenticatie (wanneer gepast).
Naast bovengenoemde selectie staan er in NIS 2 nog meer maatregelen die minimaal genomen moeten worden (bovenstaande selectie is ter indicatie).
Meldplicht
Naast een focus op het nemen van maatregelen ziet NIS 2 ook op het uitwisselen en ontvangen van informatie met en door de juiste instantie. Zo kent NIS 2 uitgebreide meldplichten, waarbij organisaties binnen 24 uur incidenten moeten melden bij de juiste instanties. De melding binnen 24 uur wordt gezien als een vroegtijdige waarschuwing, waarbij er nog aanvullende meldplichten zijn. Bijvoorbeeld binnen 72 uur een daadwerkelijke incidentmelding en binnen één maand een verslag met daarin een beschrijving van het incident, de oorzaak, genomen maatregelen en de gevolgen van het incident.
Governance
NIS 2 heeft ook gevolgen voor de governance van organisaties en zal er vermoedelijk toe leiden dat het bestuur van organisaties meer betrokken wordt bij cyberveiligheid en hiervoor ook verantwoordelijk gehouden wordt. Daarnaast zal er aandacht besteed moeten worden aan het kennisniveau op het gebied van cyberbeveiliging door het opleiden van bestuurders.
NIS 2 verwijst in het kader van governance naar “bestuursorganen” (management bodies in de Engelse versie), maar het is op dit moment niet geheel duidelijk waar dit op ziet. Is dit breder dan bijvoorbeeld de raad van bestuur of ziet het op het hoger management? De implementatiewet verschaft te zijner tijd hopelijk meer duidelijkheid op dit vlak.
Daarnaast lijkt NIS 2 een aansprakelijkheidsregime te introduceren voor het bestuur bij het niet naleven van verplichtingen om maatregelen te nemen ter beheersing van cyberbeveiligingsrisico’s. Hoe dit zich gaat verhouden tot al bestaande nationale wetgeving is niet volledig helder en hopelijk schaft de implementatiewet ook meer helderheid op dit vlak.
Sancties
Zoals eerder aangegeven wordt NIS 2 hier en daar gezien als “de AVG van de cybersecurity”. Dit kan mede komen door de hoge boetes die mogelijk gegeven kunnen worden door NIS 2. Bij essentiële entiteiten gaat het om maximaal € 10 miljoen of 2% van de jaaromzet en bij belangrijke entiteiten om € 7 miljoen of 1,4 % van de jaaromzet.
Tijdslijn
De implementatietermijn van 21 maanden is begonnen in januari 2023. Dit houdt in dat binnen 21 maanden de bepalingen van NIS 2 omgezet moeten worden in nationale wetgeving. Voordat dit heeft plaatsgevonden zal er een internetconsultatie worden gehouden. De verwachting is dat deze medio 2024 zal plaatsvinden. Tijdens de internetconsultatie kan er commentaar gegeven worden op de concept implementatiewet. Na de parlementaire behandeling zal de nieuwe wetgeving naar verwachting eind 2024 of begin 2025 van kracht zijn.
Hoe veilig is jouw IT-landschap?
Voer onze Security Scan uit om direct inzicht te krijgen in kwetsbaarheden.
