Waar staan we met de NIS2 richtlijnen?
De Europese Richtlijn met de naam Network & Information Systems (NIS) 2 vervangt de eerdere NIS richtlijn. Dit betekent dat elke Europese lidstaat 21 maanden de tijd heeft (tot 17 oktober 2024) om NIS2 te vertalen naar nationale wetgeving. In Nederland heeft de Minister van Justitie en Veiligheid op 31 januari 2024 de Kamer geïnformeerd dat Nederland de deadline van 17 oktober niet gaat halen.
Op 21 mei 2024 is de internetconsultatie van de Cyberbeveiligingswet (Cbw) gepubliceerd. De Cbw is de vertaling van NIS2 naar Nederlandse wetgeving. Naar verwachting zal de Cbw in 2025 van kracht worden.
De Cbw hangt nauw samen met de Wet weerbaarheid kritieke entiteiten (Wwke), wat de vertaling is van de Critical Entities Resilience (CER) richtlijn binnen Nederland. Binnen de twee wetgevingstrajecten, Cbw en Wwke, word er onderling naar elkaar verwezen.
Van NIS naar NIS2 naar Cbw
Door de NIS-richtlijn is de cyberveiligheid van de EU-landen groter geworden. De toenemende dreigingen en de grote mate van afhankelijkheid van digitalisering (die met de coronacrisis nog sterker naar voren kwam) is gebleken dat de huidige richtlijn niet voldoende is. Daarom heeft de Europese Commissie een voorstel ingediend om de NIS-richtlijn te vervangen door een nieuwe NIS: NIS2. De NIS2 is op 27 januari 2022 gepubliceerd en op 16 januari 2023 ingegaan. Dit betekent dat vanaf 16 januari 2023 de nationale lidstaten 21 maanden de tijd hebben om de richtlijn te implementeren. Formeel is de deadline van implementatie 17 oktober 2024.
Zoals gezegd gaat Nederland deze deadline niet halen. Op 21 mei is de internetconsultatie van de Cyberbeveiligingswet van start gegaan. Naar verwachting zal de Cbw in 2025 van kracht worden.
Raakvlakken met de Wet weerbaarheid kritieke entiteiten
De Wwke is de Nederlandse vertaling van de CER-richtlijn. Simpel gezegd richt de Wwke zich op de fysieke veiligheid van aangewezen organisaties, daar waar de CBw zich richt op de digitale veiligheid. Aangezien deze twee vormen onlosmakelijk met elkaar verbonden zijn, hangen deze twee (losse) wetgevingstrajecten wel veel met elkaar samen.
Impact van de Cbw voor organisaties
De Cbw (Nog niet van kracht) heeft op verschillende niveau’s een impact op organisaties:
1. De reikwijdte van de wet
2. De zorgplicht
3. De meldplicht
4. Toezicht en sancties
1. De reikwijdte van de wet en registratieplicht
Het aantal organisaties dat onder de nieuwe wet zal vallen neemt exponentieel toe. In Nederland zijn onder de NIS (in Nederland vertaald naar Wet beveiliging netwerk en informatiesystemen – Wbni) organisaties aangewezen als zijnde vitaal. Onder NIS2 en dus onder de Cbw zijn er criteria opgenomen waardoor men per definitie onder deze wetgeving valt. De te hanteren criteria zijn enerzijds het aantal medewerkers en anderzijds de jaaromzet.
Mocht een organisatie dusdanig belangrijk zijn, maar niet aan de minimumvereisten van de criteria voldoen, dan kan een vakdepartement de organisatie alsnog aanwijzen. Naast de wijziging van aanwijzing door een vakdepartement naar “self-assessment” zijn er ook sectoren bijgekomen zoals bijvoorbeeld post- en koeriersdiensten, levensmiddelen, manufacturing, etc.
Daarnaast beoogt men in Nederland dat elke organisatie die onder Wwke wordt aangewezen als zijnde vitaal (waar de overheid dus wel met een aanwijzing werkt), ook per definitie onder Cbw zal gaan vallen.
Het is dus veelal aan organisaties zelf om te bepalen of de organisatie onder de NIS valt. De overheid heeft hiervoor een tool ontwikkeld dat organisatie kan helpen om deze bepaling te maken: zelfraadpleging.
Wanneer de organisatie onder reikwijdte van de wet valt, is men verplicht zich te registreren in een entiteitenregister (Het NCSC ontwikkelt een online registratieportaal waar organisaties zich kunnen registreren).
2. De zorgplicht
Naast de uitbreiding van sectoren en aanbieders zitten er tussen NIS1 en NIS2 ook verschillen in de eisen die gesteld worden aan beveiliging. NIS2 (en dus Cbw) gaat een stap verder in het vaststellen van beveiligingseisen voor essentiële en belangrijke sectoren. Hierbij is de certificering van producten, diensten en processen onder specifieke EU-cybersecurity certificatieschema’s van belang.
Naast hetgeen NIS reeds voorschrijft, is er een sectie opgenomen in de NIS2 (Artikel 21 van de NIS Directive) dat specifieke eisen oplegt aan organisaties die zich in de toeleveringsketen van een kritieke sector bevinden, maar ook aan het inregelen van processen met betrekking tot incident handling.
3. De meldplicht
De organisaties die onder NIS2 – Cbw vallen zijn gehouden aan een meldplicht. De melding dient gedaan te worden bij incidenten met een significante impact bij de bevoegde autoriteiten.
Wanneer een melding significant is zal in een later stadium bepaald worden via een Algemeen Maatregel van Bestuur. De bevoegde autoriteiten zijn in Nederland enerzijds de toezichthouder waar men onder valt en anderzijds het Nationale CSIRT.
De melding zal via een getrapt model gedaan moeten worden:
- Binnen 24 uur een early warning
- Binnen 72 uur een officiële incidentmelding
- Binnen een maand het eindverslag
4. Toezicht en sancties
NIS1 eist dat alle lidstaten de toezichthoudende organisaties versterken en boetes kunnen opleggen in het geval van non-compliance. Hoe precies is bij NIS1 aan de lidstaten gelaten, en dat geldt eveneens voor de hoogte van de boetes. NIS2 geeft, net als NIS1, ruimte aan de lidstaten om hier invulling aan te geven. Er zal echter meer duiding komen hoe de toezichthoudende organisaties moeten handhaven. Denk hierbij aan AVG-achtige boetes voor non-compliance.
Het idee is dat het toezicht strikter geregeld is en dat daarnaast de handhaving en de boetes consistenter zijn tussen de lidstaten.
Tenslotte, het is 18 oktober 2024 en nu?
Zoals gezegd is de Cbw in Nederland nog niet van kracht, echter de NIS2 is op 18 oktober wel van kracht. Wat betekent dit nu concreet. Voor organisaties die reeds onder de NIS, Wbni, vallen verandert er niks. De Wbni is namelijk nog steeds van kracht en zal komen te vervallen wanneer de Cbw van kracht is.
Voor organisaties die nog niet onder de Wbni vallen maar in de toekomst wel onder de Cbw vallen geldt dat de verplichtingen die hierboven beschreven staan nog niet op hen van toepassing zijn. Deze organisaties hebben vanaf 18 oktober wel rechten die zij kunnen ontlenen aan de overheid, namelijk het recht op bijstand van het NCSC. Vermoedelijk zal hier wel een registratieplicht voor nodig zijn om van dit recht gebruik te mogen maken. Wanneer hier een officiële publicatie van bekend is zal hiernaar verwezen worden.
Meer informatie of een NIS2 assesment nodig?
Onze experts stann voor u klaar.