Blog
12-12-2022
Wat je moet weten over de nieuwe EU cybersecuritywet NIS2
Op 10 november 2022 gaf het Europees Parlement de goedkeuring voor de nieuwe cybersecurityrichtlijn, EU Network and Information Security 2 (NIS2). De overname en implementatie van de richtlijn door de lidstaten, waaronder Nederland, is nu niet ver meer. Door de wettelijke verplichting van securitymaatregelen voor publieke en private sectoren zal de digitale weerbaarheid in de Europese Unie (EU) moeten verbeteren. Maar wat is NIS2? Voor wie is het van toepassing, wat kan je verwachten en hoe gaat er worden gehandhaafd?
Wat is NIS2?
NIS2 is een opvolger van de NIS uit 2018. In Nederland is deze in de Wet beveiliging netwerk- en informatiesystemen (Wbni) geïmplementeerd. De NIS richtlijn ook als doel om de weerbaarheid binnen vitale sectoren te versterken en de impact van cyberincidenten te reduceren, maar was niet geheel succesvol. Door de wijze waarop de verordening binnen lidstaten werd geïmplementeerd, was er in verschillende landen sprake van verschillende uitwerkingen. Deze versnippering maakte NIS complex en slagvaardig. Ondertussen hebben veel organisaties, mede door de uitdagingen van Covid19, een digitale transformatie doorgemaakt.
Nu het cyberdreigingslandschap en aantal digitale aanvallen blijft groeien, is de nood hoog. Het werd dus tijd voor de opvolger van NIS: NIS2. Naast de opvolger wél zorgdraagt voor een eenduidige nationale implementatie, wordt Europese samenwerking verbeterd, zijn er forse veranderingen waarmee door toezicht en handhaving, niet alleen rechtspersonen maar ook bestuurders, niet meer om informatiebeveiliging heen kunnen.
Voor wie is NIS2 van toepassing?
NIS2 is voor de EU een cybersecurity mijlpaal, want een immens aantal organisaties zal het thema cybersecurity op het prioriteitenlijstje moeten gaan zetten. Of een organisatie wel of niet moet voldoen hangt af van meerdere factoren:
Locatie
Voor NIS2 maakt het niet uit waar de organisatie gevestigd is, maar waar de activiteiten worden uitgevoerd.
Iedere organisatie die ergens in de EER (Europees Economische Ruimte) diensten aanbiedt en ‘essentiële activiteiten’ uitvoert, zal zich aan de nieuwe richtlijn moeten houden.
Als een organisatie buiten de EER essentiële diensten levert aan de Europese economie en maatschappij, komt deze mogelijk ook in aanmerking.
Sectoren
NIS2 maakt onderscheid in twee groepen organisaties, “essential entities“ en “important entities”. Let op, dit betreft geen tautologie, maar zijn twee afzonderlijke type organisaties.
-
“essential” – essentieel.
-
“important” – belangrijk.
| Essentieel | Belangrijk |
|---|---|
|
Energie |
Post- en koeriersdiensten |
|
Vervoer |
Afvalstoffenbeheer |
|
Bankwezen |
Vervaardiging, productie en distributie van chemische stoffen |
|
Infrastructuur voor de financiële markt |
Voedselproductie, verwerking en distributie |
|
Gezondheidszorg |
Vervaardiging |
|
Drinkwater |
Digitale dienstverleners |
|
Afvalwater |
Onderzoeksorganisaties |
|
Digitale infrastructuur |
|
|
Beheer van ICT-diensten (B2B) |
|
|
Overheid |
|
|
Ruimtevaart |
Het verschil tussen het type essentieel en belangrijk, is de mate waarin een verstoring impact heeft op de samenleving, waarbij dit bij een essentiële organisatie het grootste is.
Waar NIS de lidstaten nog de mogelijkheid bood om niet te communiceren welke organisaties werden gecategoriseerd als “essentiële dienstverleners”, ontbreekt deze mogelijkheid bij NIS2. Dit betekent dat inherent meer organisaties onder de richtlijn zullen vallen. Daarbij zal anders dan voorheen de grootte van de organisaties ook meewegen. De laatste schattingen gaan uit van meer dan 160.000 organisaties.
Niet enkel de gebruikelijke vitale organisaties zoals energiemaatschappijen en financiële instellingen behoren tot de groep. Zo moet je ook denken aan gemeenten en zorginstellingen, maar ook organisaties als SaaS-leveranciers, managed service providers en IT-Cloud leveranciers.
Wanneer een organisatie niet tot één van de bovengenoemde sectoren behoort, maar wel samenwerkt met bedrijven die dit doen, kan NIS2 alsnog van toepassing zijn.
Voorbeeld: Wanneer je producten levert aan een bedrijf in de transportsector, zakendoet met een logistieke partner of een dienst levert aan een organisatie in de zorgsector dien je in lijn met NIS2 jouw cyberveiligheid op orde te hebben.
In aanmerking komen organisaties uit sectoren die voldoen aan één of meer criteria van grootte en/of winst.
Grootte – aantal werknemers
Dit zijn organisaties met meer dan 50 werknemers.
Winst – euro winst
Meer dan 10 miljoen euro winst per jaar.
NIS2 altijd van toepassing
- Specifieke sectoren of dienstverleners die als enkele partij een bepaalde dienst leveren aan de overheid.
- Een dienstverlener waarbij een incident impact kan hebben op de (openbare) veiligheid, gezondheid of een verstoring een systematisch risico kan creëren.
De Europese lidstaten, waaronder Nederland, sturen intern op de eventuele uitsluiting van organisaties. Hoe dan ook, een ongekend aantal organisaties zal door NIS2 nu echt de slag moeten met het thema digitale weerbaarheid.
Welke eisen stelt NIS2?
Wie aan de slag moet met NIS2, vreest wellicht dat het een uiterst kostbare activiteit gaat worden. Belangrijk is hierbij wel dat informatiebeveiliging niet absoluut is. Met andere woorden, van een organisatie wordt geen digitaal Fort Knox verwacht, maar een cybersecurityaanpak die aan bepaalde regels voldoet en, op basis van de daadwerkelijke risico’s en financiële mogelijkheden, zowel te verantwoorden als te rechtvaardigen is.
Tegelijkertijd is NIS2 niet uit de lucht komen vallen, maar gebaseerd op het onweerlegbare feit dat veel organisaties de gevolgen van een cyberincident ondervinden. Getroffen organisaties stoten zich niet twee keer aan dezelfde steen. Echter is het niet de bedoeling dat organisaties pas iets gaan doen na een groot incident.
Maar waar moet je dan denken als blijkt dat je tot categorie essentieel of belangrijk behoort? NIS2 kan qua verplichtingen worden opgedeeld in een zorgplicht en meldplicht.
Zorgplicht
De zorgplicht richt zich onder meer op het realiseren van:
- Beschikken over een informatiebeveiligingsstrategie vanuit het bestuur van de organisatie.
- Trainingen voor het bestuur en management om het bewustzijn rondom cybersecurity te verbeteren.
- Een risicogebaseerde uitwerking van informatiebeveiligingsbeleid.
- Een aanpak voor de beheersing van risico’s in toeleveringsketen en relaties met leveranciers.
- Het nemen van maatregelen op het gebied van:
- Incident management (preventie, detectie en reactie)
- Bedrijfscontinuïteit en crisis management
- Beveiligde netwerken en systemen
- Vulnerability management
- Controles en audits voor deffectiviteit van maatregelen
- Cryptografie
Meldplicht
NIS2 stelt procedurele eisen aan zaken als binnen welke tijd en hoe een incident moet worden gemeld bij de nationale toezichthouder. Het ten dele of geheel nalaten deze regels op te volgen is in overtreding met de richtlijn.
Hoe wordt NIS2 gehandhaafd?
Voor NIS2 zal er door de nationale toezichthouder worden gehandhaafd op basis van een ex ante-sanctiebeleid.
Ex ante - oftewel “voor de gebeurtenis”, houdt in dat de controles proactief van aard zijn. Controles zullen steekproefsgewijs zijn en niet na aan datalek of vermoeden van een incident - ex-post.
Daarbij kunnen bestuurders door bestuurdersaansprakelijkheid verantwoordelijk worden gesteld voor cyberincidenten. Hierbij bestaat de mogelijkheid om boetes op te leggen tot 10 miljoen euro of 2% van de jaarlijkse wereldwijde omzet. Het exacte bedrag zal afhankelijk zijn van welk bedrag het hoogst is. NIS2 zal dus allerminst een vrijblijvende papierentijger zijn.
