De NIS2 – en de daaruit volgende wetgeving – komt eraan. Dat betekent mogelijk voor jouw organisatie niet alleen dat je je cyberweerbaarheid onder controle moet hebben, maar bevat ook verplichtingen richting je keten en leveranciers. Ook kunnen bestuurders verantwoordelijk worden gehouden bij incidenten, waarbij mogelijke boetes net als bij de AVG niet mals zijn. Hoe dat precies zit, lees je op deze pagina.

NIS staat voor ‘Network and Information Security’. In Nederland wordt ook NIB of netwerk- en informatiebeveiliging gebruikt. In Europa is nu nog de ‘NIS1 directive’ van kracht, in Nederland onderdeel gemaakt van de Wet beveiliging netwerken en informatiesystemen (Wbni) en specifiek bedoeld voor essentiële bedrijven, zoals water- en telecom. Maar, daar komt spoedig verandering in.

In november is de NIS2 definitief door het Europees parlement aangenomen, waardoor deze richtlijn nu eveneens omgezet kan worden in nationale wetgeving. De herziene Wbni zal naar verwachting vanaf juli 2024 van kracht zijn.

Onder NIS1 zijn aanbieders van essentiële diensten en digitale partijen door de overheid al aangewezen om maatregelen te nemen voor hun digitale veiligheid en om verplicht om ernstige incidenten te melden. Vanaf juli 2024 wordt het aantal sectoren en organisaties fors uitgebreid. De NIS2 moet dan namelijk onderdeel zijn van de Wet beveiliging netwerken en informatiesystemen (Wbni).

De NIS is een richtlijn (op Europees niveau), maar wordt op landelijk niveau wel in de wetgeving verwerkt – en dat is doorgaans geen kort traject.

De NIS1, of beter gezegd de omzetting naar de Wbni, is van kracht sinds 2016, maar ‘al’ in 2020 werd er een aanpassing voorgesteld. We schrijven ‘al’ tussen aanhalingstekens, omdat slechts 4 jaar niet heel lang is voor politieke aanpassingen. Tegelijkertijd is 4 jaar in cyberland een zee van tijd. Digitalisering is een zeer dynamisch proces, en dat geldt ook voor toenemende dreigingen die daarmee hand in hand gaan. Dat vraagt om aanpassing.

Die beoogde aanpassing wordt nu werkelijkheid.

De NIS2 kent twee categorieën: essentiële aanbieders en belangrijke aanbieders. Het doel is namelijk het verhogen van de digitale veiligheid van vitale aanbieders in de EU om de Unie in zijn geheel weerbaarder te maken. Het gaat daarom niet alleen om vitale aanbieders, maar ook om toeleveranciers en ketenpartners.

Bij de essentiële aanbieders is het toezicht straks proactief. De belangrijke aanbieders zijn voornamelijk (middel)grote partijen, waarbij verstoring geen zeer ernstige maatschappelijke of economische gevolgen zal hebben, maar waarbij ketenweerbaarheid uiteraard een belangrijk rol speelt.

De NIS2 heeft betrekking op organisaties met méér dan 50 medewerkers of een omzet van meer dan 10 miljoen euro. Behalve voor organisaties in bepaalde sectoren, zoals de kritieke infrastructuur, openbare dienstverlening of dienstverlener van een overheid, of dienstverleners waarbij een incident gevolgen kan hebben voor de openbare veiligheid, beveiliging of zorg of waar een verstoring systeemrisico’s kan veroorzaken.

Altijd prettig, een ezelsbruggetje. In dit geval een ABC’tje, dat de essentie van de NIS2 goed vangt: Accountability, Business continuity en Corporate governance. Met ander woorden, A) (eind)verantwoordelijkheid voor cyberweerbaarheid, B) een plan van aanpak om de bedrijfscontinuïteit veilig te stellen, en C) toezicht op (en naleving van) de maatregelen.

Bestuursorganen c.q. het bestuur van essentiële en belangrijke entiteiten moeten de genomen maatregelen op het gebied van risicobeheer goedkeuren. Maar ze zijn ook verantwoordelijk voor de eventuele niet-naleving van de verplichtingen. Om die reden moeten ze toezien op de naleving van de regels. Denk bij dat laatste ook aan het juiste personeel dat op de juiste wijze geschoold moet zijn.

Met andere woorden: bestuurders komen niet meer weg met het gegeven dat ze niet betrokken zijn bij digitalisering, en cyber is allang geen verantwoordelijkheid meer van IT alleen. Sterker nog, bij de cyberaanval op Colonial Pipeline in de VS vorig jaar is dat bedrijf aangeklaagd voor de vervolgschade in de keten, terwijl de organisatie zélf slachtoffer was.

Er is op dit moment overigens nog geen jurisprudentie voor dat soort claims, maar er gaat zeker het nodige veranderen. Wat ons ook weer terugbrengt bij de A van accountability. Dat gaat over het nemen van voldoende maatregelen, én aantonen dat die maatregelen genomen zijn. Artikel 18 (Wbni) bevat de minimummaatregelen én de algemene verplichting om passende/evenredige technische en organisatorische maatregelen te nemen​. Denk dan aan beleid en procedures (tests en audits) om de effectiviteit van maatregelen te beoordelen.

Business continuity tot slot gaat over alle stappen en maatregelen die bij onvoorziene omstandigheden worden gezet om continuïteit van de dienstverlening te waarborgen​. Daar dient een plan voor te bestaan; inventarisatie van kwetsbaarheden en mogelijke gevolgen​ – en vervolgens een aanpak om die op te vangen om continuïteit te kunnen waarborgen​.

EU-lidstaten krijgen straks de verantwoordelijkheid om erop toe te zien dat deze maatregelen zijn genomen of onverwijld worden genomen​. Wat ons brengt bij de nog niet genoemde D van het NIS2-ABCD: De meldingsplicht.

Verplichte melding van incidenten bij CSIRT of (andere) bevoegde autoriteit wordt een belangrijke pijler van de NIS2. Een incident wordt gedefinieerd als een gebeurtenis waarbij “de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de gerelateerde diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen” in gevaar is gebracht.

Entiteiten moeten ‘passende en evenredige maatregelen nemen om de risico’s voor de beveiliging van hun netwerk en informatiesystemen die zij gebruiken voor hun werkzaamheden of voor het verlenen van hun dienst te beheersen.’ Dat omvat onder meer de afhandeling van incidenten, bedrijfscontinuïteit en de beveiliging van toeleveringsketens (supply chain security).

De belangrijkste punten op een rij:

• vergelijkbaar met de AVG krijgen nationale autoriteiten de mogelijkheid bindende instructies of bevelen te geven, en zelfs boetes uit te delen indien organisaties niet voldoen aan de wet/richtlijn. Maximale boetes lopen op tot 10 miljoen euro of 2% van de wereldwijde omzet, afhankelijk welke hoger is (nb: het is nog afwachten wat de Nederlandse overheid hieraan verbindt);

• er komen dus strengere toezichtmaatregelen en vereisten voor handhaving. Zo kan een bestuurder van een onderneming verantwoordelijk worden gehouden voor aantoonbare nalatigheid op het gebied van cyberveiligheid, met boetes als gevolg. De hoogte van deze boetes zijn vergelijkbaar met de boetes die de AP oplegt bij overtredingen binnen de AVG;

• als organisatie dien je een adequate aanpak voor cybersecurity te hebben, inclusief passende beveiligingsmaatregelen. Standaarden zoals ISO 27001 en NEN 7510 geven hier een gestructureerde invulling aan. Deze zorgplicht houdt in dat een digitale dienstverlener passende organisatorische en technische maatregelen moeten nemen om risico’s voor de beveiliging van hun ict-systemen te beheersen en de gevolgen van incidenten te verkleinen;

• om ervoor te zorgen dat het management zich voldoende bewust is van cyberrisico’s, schrijft de NIS2 bijvoorbeeld voor dat bestuursorganen adequate cybersecuritytraining volgen. De NIS2 adviseert dat alle werknemers een dergelijke opleiding krijgen, maar dit is niet verplicht. Verder moeten er activiteiten op het gebied van risicobeheer en -beoordeling worden uitgevoerd zodat management zich bewust is van en rekening heeft gehouden met risico’s binnen de organisatie;

• de meldplicht houdt in dat incidenten moeten worden gemeld bij de toezichthouder Agentschap Telecom en bij het CSIRT (Computer Security Incident Response Team) voor digitale diensten. Krijg je als organisatie kennis van een incident, moet je binnen 24 uur een eerste rapport indienen bij de toepasselijke autoriteiten indien het incident de beschikbaarheid van de aangeboden diensten heeft verstoord, en binnen 72 uur in alle andere genoemde gevallen. Bovendien moet in ieder geval binnen een maand na de eerste melding een volledig incidentenverslag worden ingediend.

Is jouw organisatie voldoende voorbereid op de komst van de NIS2, de grootste grensverlegger sinds de AVG?

De nieuwe wetgeving omhelst niet alleen de voorwaarde dat je je eigen cyberweerbaarheid onder controle hebt, maar bevat ook verplichtingen richting je keten en leveranciers. Ook kunnen bestuurders verantwoordelijk worden gehouden bij incidenten, waarbij mogelijke boetes bovendien niet mals zijn.

Wil je meer weten over de invloed van de NIS2, en vooral wat je kunt doen om jouw organisatie klaar te stomen voor de veranderingen in de Wbni?
Neem dan vrijblijvend contact op.