De afgelopen jaren heeft de Europese Unie (EU) gewerkt aan een reeks richtlijnen voor een veiliger digitale omgeving. Het belang van informatiebeveiliging komt naar voren met de komst van de NIS2 richtlijn. Met de NIS richtlijn wil de EU het minimale beveiligingsniveau van netwerk- en informatiesystemen verbeteren. Het niet naleven van de NIS2 richtlijn heeft juridische en strategische gevolgen voor organisaties. Er vinden meer aanvallen op kritische sectoren plaats of op de leveranciers van deze sectoren. Omdat beveiliging steeds meer net als de huidige markt een grensoverschrijdende aangelegenheid is moeten organisaties dus aan de slag!
NIS staat voor Netwerk- en Informatiesystemen en is de eerste EU-wetgeving op het gebied van cyberbeveiliging. Op dit moment geldt de NIS 1, een richtlijn voor essentiële bedrijven, zoals water- en telecombedrijven. De opvolger, NIS2 verhoogt de cybersecurity-eisen door heel Europa en is voor meer sectoren van toepassing. Met deze richtlijn richt de EU zich niet alleen meer op grote organisaties. NIS2 heeft namelijk ook invloed op MKB-bedrijven die essentiële diensten leveren of die leveranciers zijn van deze essentiële diensten.
In de nieuwe richtlijn worden organisaties ingedeeld ‘Essentieel’ of ‘Belangrijk’. Voor beiden categorieën zijn er dezelfde eisen voor informatiebeveiliging van toepassing maar gelden er andere toezicht- en sanctieregelingen.
Met de vernieuwing van de NIS1 zijn er een aantal sectoren toegevoegd die moeten voldoen aan de richtlijnen die opgesteld zijn. Hieronder zie je de sectoren die moeten voldoen aan de richtlijnen van NIS1.
Met de ingangtreding van NIS2 worden er een aantal sectoren toegevoegd die moeten voldoen aan de nieuwe richtlijnen. Dit zijn de volgende sectoren: afvalwater, ruimtevaart, afvalstoffen-beheerder, chemische stoffen, vervaardiging/manufacturing, overheidsdiensten, post- en koeriersdiensten, levensmiddelen, onderzoek en tot slot ICT Service Management.
Niet naleving van de NIS 2-richtlijn kan leiden tot boetes en andere strafrechtelijke sancties. Er zijn forse boetes mogelijk van maximaal 10 miljoen euro of 2% van de jaaromzet. Daarnaast kent de niet-naleving van de richtlijn ook strategische gevolgen voor jouw organisatie. Het implementeren van de richtlijn zorgt namelijk voor een betere bescherming van jouw dienst bij klanten en partners, het verbetert jouw digitale veiligheidspositie en daarmee ook de reputatie van jouw organisatie omdat cybersecurity serieus wordt genomen. Nog meer reden dus om cyberveiligheid op orde te hebben.
Hieronder staan kort de letterlijke wettelijke artikelen beschreven:
De NIS2 is op 16 januari 2023 in werking getreden en de lidstaten hebben nu 21 maanden, tot 17 oktober 2024, om de maatregelen ervan in nationaal recht om te zetten. De NIS2 gaat gelden naast sectorspecifieke wetgeving en daar zijn ook veel ontwikkelingen. De belangrijkste daarvan om hier te vermelden is de onlangs voorgestelde ‘DORA’-verordening inzake digitale operationele veerkracht voor de financiële sector.
In een brief aan de tweede kamer waarschuwt Minister van Justitie en Veiligheid Yesilgöz dat het omzetten van de NIS2 naar nationale wetgeving langer duurt dan verwacht. Hierom stelt ze dat de implementatie deadline niet gehaald gaat worden. Daarnaast wordt ook de CER-richtlijn, voor het beschermen van kritieke infrastructuur, niet op tijd gehaald. Dit zou oorspronkelijk 17 oktober van 2024 zijn. Dit betekent dus ook dat de implementatiewetten niet op de tot-nu-toe gecommuniceerde datum in werking zullen gaan treden of nageleefd hoeven te worden.
Een belangrijk aspect van de NIS2, tegenover de voormalige NIS, is de uitbreiding van sectoren. Er vallen veel meer bedrijven onder de NIS2 dan onder de NIS, waardoor toezicht en handhaving een grote uitdaging is geworden. Toezichthouders en autoriteiten van verschillende sectoren zijn flink aan het afstemmen hoe de communicatie tussen verschillende instanties kan worden ingericht.
Dit grote samenwerkingsverband is tot nu toe nog ongekend, en brengt daarom een groot vraagteken met zich mee.
Er wordt geleidelijk materiaal uitgebracht om organisaties een stuk op weg te helpen. Zo heeft het Nationaal Cyber Security Centrum (NCSC) een flowchart uitgebracht waarin een organisatie kan vaststellen of ze zichzelf moeten registeren onder de NIS2.
Registeren zal uiteindelijk kunnen via MijnNCSC (https://www.ncsc.nl/over-ncsc/mijn-ncsc). Organisaties zullen middels eHerkenning hun organisaties kunnen registeren, incidenten melden en zien welke toezichthouder en autoriteit voor hun sector geldt.
En nu?
Wel wordt er gesteld dat het traject richting de consultatie van de conceptwetsvoorstellen bevindt zich in een afrondende fase. De conceptwetgeving zal naar verwachting voor de zomer van 2024 in consultatie worden gebracht.
Op 21 mei 2024 is de internetconsultatie van de NIS2 (nu ook wel: Cyberbeveiligingswet) en de Wet weerbaarheid kritieke entiteiten van start gegaan. De consultatieperiode loopt tot 2 juli 2024. Het doel van de consultatie is een zo groot mogelijke groep van burgers, bedrijven en instellingen betrekken bij de totstandkoming van de Nederlandse wetgeving.
Na afloop van de consultatieperiode worden alle reacties beoordeeld en wordt eventueel het wetsvoorstel aangepast. Via www.internetconsultatie.nl kan iedereen suggesties doen voor verbetering van de wet- en regelgeving.
De wet legt vooral de verantwoordelijkheden en rollen van de toezichthouders en autoriteiten vast. Alle sectoren beschikken nu over een bevoegde autoriteit. Hierbij een overzicht van alle sectoren en de bevoegde autoriteit:
Zoals gedeeld in de vorige update is op 21 mei 2024 de internetconsultatie van de NIS 2 (nu ook wel: Cyberbeveiligingswet) en de Wet weerbaarheid kritieke entiteiten van start gegaan. De consultatieperiode loopt tot 2 juli 2024. Meerdere bedrijven, belangenorganisaties en vakbonden hebben een reactie gestuurd op basis van de gepubliceerde wetteksten.
Er komen veel verschillende elementen overeen binnen de verschillende reacties. Er wordt een kritische blik geworpen aan de formulering van bepaalde wetteksten, en de mogelijke gevolgen die bepaalde handhaving met zich meebrengt (zoals de Zorgplicht), met daarbij het verzoek om in 2025 niet direct over te gaan op handhaving, maar eerst op lerend vermogen.