'Een veilige werkomgeving
beschermt wat waardevol is'

Wat houdt de NIS2 Cybersecurity wet in?

Europa werkt momenteel aan wetgeving op het gebied van cybersecurity, genaamd NIS2. Deze richtlijn dwingt steeds meer organisaties (met name bedrijven die van groot belang zijn voor de economie en maatschappij) om de kwaliteit van hun cybersecurity te verbeteren en een bepaald minimumniveau te garanderen.

Hoewel het bewustzijn rondom cybersecurity bij organisaties toeneemt, blijkt uit analyses van security-incidenten en datalekken nog te vaak dat deze incidenten voorkomen hadden kunnen worden als organisaties zorgvuldiger te werk waren gegaan. Het is belangrijk om te voldoen aan de wet en aansprakelijkheid uit te sluiten door te zorgen voor protect, detect, respond & cover.

Richtlijn

NIS staat voor de richtlijn ‘Network and Information Security’, die in 2016 werd ingevoerd en binnenkort wordt vervangen door een zwaardere versie. De NIS is in Nederland opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en heeft drie pijlers van beveiliging: het in kaart brengen van security risico’s, het beperken van risico’s door bescherming en detectie, en het beperken van de gevolgen van cyberincidenten.

De Europese Raad heeft de wetgeving aangenomen om een ​​hoog niveau van cyberbeveiliging in de hele Europese Unie tot stand te brengen om de weerbaarheid en reactie op cyberincidenten van de publieke en private sector en de EU als geheel verder te vergroten.

De nieuwe richtlijn genaamd “NIS2” vervangt de huidige richtlijn over de beveiliging van netwerken en informatiesystemen (NIS-richtlijn).

Betere risico- en incidentenbeheer en samenwerking door invoering NIS2.0

NIS2 heeft als doel om de veiligheid van toeleveringsketens te verbeteren door individuele bedrijven te verplichten om cyberveiligheidsrisico’s in toeleveringsketens en leveranciersrelaties te beheersen. De voorgestelde wijzigingen hebben ook tot doel de cyberbeveiliging van de toeleveringsketen voor belangrijke informatie- en communicatietechnologieën op Europees niveau te versterken.

NIS2 gaat de basis vormen op het gebied van cyberbeveiliging en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen. Hierin wordt onderscheid gemaakt in de volgende categorieën:

• Vitale sectoren die cruciaal zijn voor de Nederlandse samenleving (Annex 1)
• Andere sectoren die van belang zijn voor de continuïteit (Annex 2)

Beveiligingseisen en branches

De beveiligingseisen gelden voor zowel organisaties in vitale sectoren als voor bedrijven die indirect of direct daaraan verbonden kunnen worden en dat is al snel. Denk bijvoorbeeld aan bedrijven die in een keten zitten, waar vitale sectoren gebruik van maken of afhankelijk van zijn op wat voor manier dan ook.

Kleine bedrijven (minder dan 50 medewerkers en bedrijven met minder dan 10 miljoen omzet) vormen een uitzondering en hoeven dus niet aan de NIS2.0 wetgeving te voldoen. Organisaties en bedrijven die wel dienen te voldoen zijn ingedeeld in een aantal generiek beschreven branches.

Annex 1: vitale sectoren Nis2

Voorbeelden van vitale sectoren (Annex 1):

• Energie
• Transport
• Bankwezen
• Financiële infrastructuur
• Gezondheid
• Drinkwater voorziening
• Afvalwater / riolering
• Digitale infrastructuur (internet, DNS service providers, cloud computing en service providers, domein registratie, datacenter services, trust services, communicatienetwerken
• ICT-services voor de B2B markt (MSP, MSSP)
• Publieke administratieve diensten
• Ruimte techniek

Annex 2: andere branches Nis2

Voorbeelden van andere sectoren die van belang zijn voor de continuïteit (Annex 2)

• Pakket en post leveranciers
• Afvalverwerking
• Productie, vervaardiging, verwerking en distributie van chemicaliën
• Productie, verwerking en distributie van etenswaren
• Productiebedrijven (medisch, ICT, elektronische apparatuur, elektriciteit, opticiens, machineproductie en -benodigdheden, vervoersmiddelen, transport benodigdheden)
• Digitalisering (digitale marktplaatsen, online zoekmachines, sociale netwerken)
• Onderzoeksbureaus
• Organisaties die een belangrijke/essentiële bijdrage leveren aan de continuïteit van deze bedrijven, inclusief toeleveranciers.

Incidenten in lidstaten voorkomen

De richtlijn heeft als doel de cyberbeveiligingsvereisten en de implementatie van cyberbeveiligingsmaatregelen in alle lidstaten te harmoniseren. Daartoe bevat het minimumvereisten voor het regelgevingskader en mechanismen voor effectieve samenwerking tussen de autoriteiten in elke lidstaat.

De richtlijn actualiseert de lijst van sectoren en activiteiten die onderworpen zijn aan cyberbeveiligingsverplichtingen en voorziet in rechtsmiddelen en sancties om handhaving te waarborgen. Met de NIS2 richtlijn wordt formeel EU-CyCLONE opgericht, een Europees verbindingsnetwerk voor cybercrisissen, dat het gecoördineerde beheer van grootschalige cyberveiligheidsincidenten zal ondersteunen.

Uitbreiding van de regels

Onder de oude NIS-richtlijn waren de lidstaten verantwoordelijk voor het bepalen welke entiteiten kwalificeren als essentiële dienstverleners, maar de nieuwe NIS2-richtlijn introduceert size cap-regels als algemene regel voor het identificeren van gereguleerde entiteiten.

Dit betekent dat alle grote en middelgrote entiteiten die actief zijn in bedrijfstakken die onder de richtlijn vallen of die diensten verlenen, binnen het toepassingsgebied van de richtlijn zullen vallen. Hoewel de herziene richtlijn deze algemene regel handhaaft, bevat de tekst aanvullende bepalingen om te zorgen voor evenredigheid, een hoger niveau van risicobeheer en duidelijke kritikaliteitscriteria voor nationale autoriteiten om te bepalen welke aanvullende entiteiten onder de richtlijn vallen.

Entiteiten

De tekst verduidelijkt ook dat de richtlijn niet van toepassing is op entiteiten die actief zijn op gebieden als defensie of nationale veiligheid, openbare veiligheid en wetshandhaving. Ook de rechterlijke macht, het parlement en de centrale banken vallen buiten het bereik.

NIS2 zal ook van toepassing zijn op de rijks- en regionale overheidsdiensten. Bovendien kunnen de lidstaten besluiten dat het ook van toepassing is op dergelijke entiteiten op lokaal niveau.

Ingevoerde wijzigingen

Bovendien voldoet de nieuwe richtlijn aan branchespecifieke wetgeving, met name de Financial Sector Digital Operational Resilience Regulation (DORA) en de Critical Entity Resilience Directive (CER), om juridische duidelijkheid en consistentie te bieden tussen NIS2 en deze garantiewetten.

Een vrijwillig mechanisme voor peer learning zou het wederzijdse vertrouwen vergroten en leren van goede praktijken en ervaringen in de hele alliantie, en zo bijdragen aan het bereiken van een zeer gemeenschappelijk niveau van cyberbeveiliging. De nieuwe wetgeving vereenvoudigt ook de rapportageverplichtingen om overrapportage en onnodige belasting van relevante entiteiten te voorkomen.

De nieuwe NIS 2-richtlijn, belangrijkste elementen

Het nieuwe Commissievoorstel heeft tot doel de tekortkomingen van de vorige NIS-richtlijn aan te pakken, de richtlijn aan te passen aan de huidige behoeften en haar toekomstbestendig te maken.

Daartoe breidt de Commissie het toepassingsgebied van de huidige NIB-richtlijn uit door nieuwe sectoren toe te voegen op basis van het belang ervan voor de economie en de samenleving, en door een duidelijk plafond voor de omvang in te voeren – wat betekent dat alle middelgrote en grote ondernemingen in bepaalde sectoren onder het toepassingsgebied zullen vallen. Tegelijkertijd laat het de lidstaten enige flexibiliteit om kleinere entiteiten met een hoog veiligheidsrisicoprofiel te identificeren.

Het voorstel maakt ook een einde aan het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten. Entiteiten worden ingedeeld op basis van hun belang, en verdeeld in essentiële en belangrijke categorieën, waarvoor verschillende toezichtregelingen gelden.

Het voorstel versterkt en stroomlijnt de beveiligings- en rapportagevereisten voor bedrijven door een risicobeheerbenadering op te leggen, die voorziet in een minimumlijst van basisbeveiligingselementen die moeten worden toegepast. Het voorstel bevat nauwkeuriger bepalingen inzake de procedure voor het melden van incidenten, de inhoud van de rapporten en de termijnen.

Keten verantwoordelijkheid

Voorts stelt de Commissie voor de beveiliging van toeleveringsketens en relaties met leveranciers aan te pakken door individuele bedrijven te verplichten de risico’s van cyberbeveiliging in toeleveringsketens en relaties met leveranciers aan te pakken. Op Europees niveau versterkt het voorstel de cyberbeveiliging van de bevoorradingsketen voor belangrijke informatie- en communicatietechnologieën.

De lidstaten kunnen, in samenwerking met de Commissie en het ENISA, gecoördineerde risicobeoordelingen van kritieke toeleveringsketens uitvoeren, voortbouwend op de succesvolle aanpak in het kader van de aanbeveling van de Commissie inzake de cyberbeveiliging van 5G-netwerken.

Voorstel voor strenger toezicht

Het voorstel voorziet in strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhavingseisen en beoogt harmonisatie van de sanctieregelingen in de lidstaten.

Het voorstel versterkt ook de rol van de samenwerkingsgroep bij het nemen van strategische beleidsbeslissingen en versterkt de informatie-uitwisseling en samenwerking tussen de autoriteiten van de lidstaten. Het versterkt ook de operationele samenwerking, onder meer op het gebied van cybercrisisbeheer.

Het Commissievoorstel voorziet ook in een basiskader met verantwoordelijke hoofdrolspelers voor de gecoördineerde bekendmaking van nieuw ontdekte kwetsbaarheden in de hele EU en creëert een EU-register op dit gebied, dat wordt beheerd door het EU-agentschap voor cyberbeveiliging (ENISA).

Volgende stappen Nis2

De richtlijn wordt de komende dagen bekendgemaakt in het Publicatieblad van de Europese Unie en treedt in werking op de twintigste dag na die bekendmaking.

De lidstaten hebben vanaf de inwerkingtreding van de richtlijn 21 maanden de tijd om de bepalingen in hun nationale wetgeving op te nemen.

Meer weten? Bekijk dan het webinar over dit onderwerp: