NIS2 en de zorgplicht: Neem op tijd de hinderNIS

    - - - / 22 May 2025

    Veel bedrijven ervaren het misschien als een stormbaan aan regelgeving waar doorheen geworsteld moet worden, om te voldoen aan alle nieuwe wet- en regelgeving die er de laatste jaren is bijgekomen. Zo schreef ik begin dit jaar nog over de DORA, die feestelijk werd onthaald. Een ander stukje wet- en regelgeving wat eraan zit te komen, is de Cyberbeveiligingswet, de Nederlandse implementatie van de NIS2. Mocht je hier meer over willen lezen: via deze link kom je alles over de NIS2 te weten.

    Men denkt misschien: ‘die is er nog niet, dus we doen het lekker rustig aan’. Helaas kom je dan van een koude kermis thuis. In deze blog zal ik wat dieper ingaan op de zorgplicht die rust op de organisaties die vallen onder de NIS2. Kleine disclaimer: er komen redelijk wat verwijzingen langs en een beetje voorkennis van de NIS2 is handig. Lees bijvoorbeeld deze eerdere blog over de NIS2.

    Hoe zit het ook alweer met de NIS2?

    De Network- and Information Security 2-Richtlijn is alweer op 16 januari 2023 in werking getreden, een flinke poos geleden. Het was de bedoeling dat de nationale wetgevers de NIS2 zouden omzetten naar nationaal recht vóór 17 oktober 2024. Dit is helaas niet gebeurt. Voor nu betekent dit praktisch dat organisaties die onder de NIS2 vallen wél bepaalde rechten krijgen, maar nog geen verplichtingen hebben. We hebben al wel enigszins een beeld van wat we kunnen verwachten, de Cyberbeveiligingswet en bijbehorend Cyberbeveiligingsbesluit (een algemene maatregel van bestuur) zijn al door de consultatieperiode heen gegaan en het commentaar erop wordt (hopelijk) op dit moment verwerkt.

    Zorgplicht uit de NIS2 voor de digitale sector

    Wat de zorgplicht ook alweer inhoudt, kunnen we vinden in artikel 21 lid 1 van de NIS2. De NCSC vat het samen als volgt: het nemen van maatregelen om jouw netwerk- en informatiesystemen te beschermen. Die maatregelen zijn vervolgens in artikel 21 lid 2 NIS2 uiteengezet. Ze omvatten (hoog over) beleid en maatregelen over:

    • risicoanalyse en beveiliging van informatiesystemen;
    • incidentenbehandeling;
    • bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen, en crisisbeheer;
    • de beveiliging van de toeleveringsketen;
    • beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
    • de effectiviteit van maatregelen tegen cyberbeveiligingsrisico’s;
    • basispraktijken op het gebied van cyberhygiëne en opleidingen;
    • cryptografie en encryptie;
    • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en activa;
    • multifactor-authenticatie of andere authenticatieoplossingen.

    Het is de bedoeling dat dit nader wordt uitgewerkt in nationale wetten en algemene maatregelen van bestuur, zodat alle sectoren onder de NIS2 een indicatie hebben van waar ze rekening mee moeten houden. Dit geldt alleen niet voor alle sectoren, voor bijvoorbeeld de digitale sector moeten we elders kijken. Hier kom ik later op terug.

    Zorgplicht uit het Cyberbeveiligingsbesluit 

    Dit gaat in Nederland vooral gebeuren via het Cyberbeveiligingsbesluit (Cbb), die net door de consultatieversie is (maar nog niet geldt). In artikel 6 tot en met 18 van het Cbb is de zorgplicht uitgewerkt voor alle belangrijke en essentiële entiteiten onder de NIS2. Deze kunnen redelijk worden onderverdeeld in 10 concrete maatregelen en het NCSC heeft dan ook tien maatregelen voorgeschreven die genomen kunnen (of moeten) worden door organisaties. Een mooi pakket waar veel organisaties mee aan de slag kunnen.

    Een belangrijk principe uit het Cbb is dat de entiteiten het beleid waarmee zij invulling geven aantoonbaar moeten toepassen. Enkel het schriftelijk vastleggen, wat ook een vereiste is, is dus niet voldoende. De nota van toelichting van het Cbb licht het als volgt toe:

    “het doel van deze voorschriften is dat entiteiten weloverwogen beleid formuleren op de genoemde onderwerpen, dat zij dit formeel vaststellen en dat zij dit beleid daadwerkelijk ten uitvoer brengen en dat hierop ook effectief toezicht mogelijk is.”

    Ook kunnen er nog per sector nadere ministeriële regelingen worden opgesteld, waardoor er rekening gehouden wordt met de specifieke aard van een sector, subsector of soort entiteit.

    Zorg- en meldplicht uit de “NIS2U”

    Voor de digitale sector moeten we kijken naar de uitvoeringsbepalingen inzake de cyberbeveiliging van kritieke entiteiten en netwerken. Deze zijn vastgesteld in de vorm van een uitvoeringsverordening, de NIS2U (fonetisch door mij uitgesproken als de NIS-To-You, wie weet een term die zal aanslaan). De NIS2U is een uitwerking voor (met name) de digitale sector over de invulling van de meldplicht (artikel 23 lid 11 NIS2) en de zorgplicht (artikel 21 lid 5 NIS2) die op hen rust. De zorgplichten van de NIS2U zijn al vastgesteld. Omdat de NIS2U, in tegenstelling tot het CBB, al wel is vastgesteld kunnen we voor de sectoren die onder de NIS2U al wel beter in kaart brengen wat hun zorgplicht én meldplicht inhoudt. Zo wordt goed uiteengezet wat voor alle relevante sectoren een ‘significant’ incident is (artikel 3 en 4 NIS2U) en wat sectorspecifieke significante incidenten zijn (artikel 5 t/m 14 NIS2U).

    De zorgplicht komt op zijn beurt voort uit artikel 2 NIS2U en de Annex (Bijlage) van de Uitvoeringsverordening. In de Annex worden te nemen beheersmaatregelen om invulling te geven aan de zorgplichten erg uitgebreid uiteengezet, te uitgebreid om dit in een blog te vatten. Alle 10 hierboven genoemde punten uit de NIS2 komen in ieder geval aan bod. Wat men zich goed moet realiseren, is dat de beheersmaatregelen risico gebaseerd en proportioneel toegepast kunnen worden. Er zit geen harde verplichting aan de maatregelen vast en er is dan ook enige ruimte om een andere invulling te geven aan de zorgplicht. Om dit te benadrukken wordt er in de Annex bij sommige maatregelen aangegeven dat zij “waar passend”, “indien van toepassing” of “voor zover haalbaar” moeten worden toegepast. Nog steeds belangrijk is dat aangetoond wordt dat maatregelen aantoonbaar worden toegepast. ‘Pas toe of leg uit’ is dan ook een goed principe om te hanteren.

    Aansluiting bij normenkaders

    De regels waar alle organisaties die onder de NIS2 vallen aan moeten voldoen kunnen nogal overweldigend zijn; De NIS2 zelf, de Cyberbeveiligingswet en -besluit, Uitvoeringsverordeningen en wie weet nog wel meer algemene maatregelen van bestuur of ministeriële regelingen. Gelukkig wordt er vanuit de overheid gestuurd op aansluiting bij al bestaande normenkaders. Zo zal in de zorg veel aansluiting gezocht worden bij de NEN-normen (NEN-7510), voor overheden bij BIO (waar de nieuwe, nog te ontwikkelen versie in de wet verankert zal worden) en, alhoewel hier geen concrete uitspraken over zijn, zal de ISO 27001 normering ook een zeer goede basis vormen voor het vervullen van de zorgplicht. Bij de nieuwste NEN-7510 norm is overigens al rekening gehouden met de NIS2, maar auditors zijn nog niet geaccrediteerd om organisaties hiervoor te certificeren. Ook staan er nog enkele kleine foutjes in de mapping NIS2 – NEN 7510, die als bijlage aan de norm is toegevoegd.

    Wat in de praktijk ook vaak voorkomt, zijn NIS2-keurmerken en -certificaten. Dit is een vorm van de verplichte aantoonbaarheid van de verplichtingen uit de NIS2, maar heeft geen officiële status. Alhoewel dit goede initiatieven zijn en zelfregulering wordt aangemoedigd, betekenen deze certificaten namelijk niet dat jouw organisatie automatisch aan de wet voldoet. De Rijksoverheid doet ook verder geen uitspraken over deze vorm van zelfregulering en verwijzen, zonder dat je hier rechten aan kan ontlenen, naar de door henzelf gepubliceerde tools.

    Maar hoe sluit ik nu aan bij die normenkaders?

    Zelfs met de tools die vanuit de overheid nu al geboden worden kan het een hele kluif zijn om jouw organisatie goed voor te bereiden op de NIS2 en de Cyberbeveiligingswet en alle plichten die hieruit voortvloeien. ICTRecht kan hier uiteraard bij helpen. Het uitvoeren van nulmetingen, Gap-analyses, het actualiseren van je leveranciersmanagement of het ondersteunen bij audits; Wij helpen met het op tijd nemen van de hinderNIS, zonder te struikelen.

    vragen of opmerkingen? Stel ze gerust!

    Contact
    Terug naar overzicht

    Koen Bulthuis

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram