Wat gaat er veranderen?
De veiligheid van onze samenleving en economie staat steeds vaker onder druk. Daarom heeft de Europese Unie de Network and Information Security (NIS2) directive ontwikkeld. Deze richtlijn moet de digitale en economische weerbaarheid van de landen van de EU versterken.
De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De richtlijn moet meehelpen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB. Deze richtlijn is in 2016 in Nederland opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Naast de NIS2-richtlijn heeft de Europese Commissie ook de CER-richtlijn vastgesteld. Die richt zich op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. Beide richtlijnen zijn bedoeld om de weerbaarheid van de Europese lidstaten te vergroten en dreigingen die de samenleving of economie kunnen verstoren of ontwrichten tegen te gaan.
Wat betekent de NIS2-richtlijn voor uw organisatie?
Publieke en private organisatie binnen bepaalde sectoren krijgen een zorgplicht en een meldplicht. Hieronder wordt samengevat welke verplichtingen de NIS2-richtlijn voorschrijft en voor welke sectoren ze gaan gelden. De landen van de EU hebben tot 17 oktober 2024 de tijd om de NIS2-richtlijn op te nemen in nationale wetgeving.
Welke sectoren en organisaties vallen onder de NIS2-richtlijn?
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en daar zijn nu sectoren bijgekomen. Het aantal publieke en private organisaties dat onder de richtlijn valt wordt dus groter. De organisaties die onder de tweede NIS-richtlijn vallen, zijn essentiële en belangrijke organisaties in verschillende sectoren. Deze sectoren worden beschreven in bijlage 1 en 2 van de NIS2-richtlijn.
Bijlage 1 van de NIS2-richtlijn bevat de zeer kritieke sectoren:
- energie
- transport
- bankwezen
- infrastructuur financiële markt
- gezondheidszorg
- drinkwater
- digitale infrastructuur
- beheerders van ict-diensten
- afvalwater
- overheidsdiensten
- ruimtevaart
Bijlage 2 van de NIS2-richtlijn noemt andere kritieke sectoren:
- digitale aanbieders
- post- en koeriersdiensten
- afvalstoffenbeheer
- levensmiddelen
- chemische stoffen
- onderzoek
- vervaardiging / manufacturing
Organisaties vallen automatisch onder de NIS2-richtlijn als zij actief zijn in een van deze sectoren en als zij een ‘essentiële’ of ‘belangrijke’ entiteit zijn. Dit is een belangrijk verschil met de eerste NIS-richtlijn. In tegenstelling tot de CER-richtlijn, vindt bij de NIS2-richtlijn geen aanwijzing plaats door de ministeries.
Wat is een een essentiële entiteit?
Essentiele entiteiten zijn grote organisaties die actief zijn in een van de sectoren sector uit bijlage 1 van de NIS2-richtlijn (zie hierboven). Een organisatie is groot als die meer dan 250 werknemers heeft of een netto omzet heeft van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
Wat is een belangrijke entiteit?
Belangrijke entiteiten zijn middelgrote organisaties die actief zijn in een van de sectoren uit bijlage 1 en organisaties die actief zijn in een van de sectoren uit bijlage 2 (zie hierboven). Een organisatie is middelgroot als die minimaal 50 werknemers heeft of een jaaromzet of balanstotaal heeft van meer dan 10 miljoen euro.
Uitval van diensten van essentiële entiteiten heeft meer ontwrichtende gevolgen voor de economie en samenleving, dan uitval bij belangrijke entiteiten. Op essentiële entiteiten is het toezicht strikter dan bij belangrijke entiteiten. De overheid houdt zowel voor- als achteraf toezicht op de naleving van de verplichtingen door essentiële entiteiten. Bij belangrijke entiteiten is dit toezicht alleen achteraf. Bijvoorbeeld als er aanwijzingen zijn dat de wet niet wordt nageleefd, of als er een incident is gebeurd.
De meeste micro- en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. Sommige micro- en kleine vallen wel onder de NIS-richtlijn. En de minister kan ervoor kiezen om een micro- of klein bedrijf aan te wijzen. Bijvoorbeeld als uit een risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of samenleving. In dat geval krijgen deze bedrijven hierover bericht van het betreffende ministerie.
Micro- en kleine bedrijven die wel automatisch onder de NIS2-richtlijn vallen zijn:
- aanbieders van vertrouwensdiensten
- registers voor topleveldomeinnamen
- verleners van domeinnaamregistratiediensten
- aanbieders van openbare elektronische-communicatienetwerken
- aanbieders van openbare elektronische-communicatiediensten
Overheidsinstanties uit de sectoren die hierboven staan, vallen ook automatisch onder de NIS2-richtlijn.
Wilt u weten of u een MKB-onderneming of (middel)groot bedrijf heeft? Hiervoor kunt u kijken op de website van RVO.
Welke verplichtingen schrijft NIS2-richtlijn voor?
De verplichtingen van de NIS2-richtlijn en de CER-richtlijn lijken sterk op elkaar. Belangrijke plichten voor organisaties die onder de NIS2-richtlijn vallen zijn:
- Zorgplicht - organisaties moeten zelf een risicobeoordeling uitvoeren. Op basis hiervan moeten zij maatregelen nemen om hun diensten zoveel mogelijk door te laten gaan en de gebruikte informatie te beschermen.
- Meldplicht - Organisaties moeten incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de essentiële dienstverlening aanzienlijk (kunnen) verstoren. Is het een cyberincident? Dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Het CSIRT kan dan hulp- en bijstand leveren. Verschillende factoren bepalen of een incident gemeld moet worden. Bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht - Organisaties die onder de richtlijn vallen komen onder toezicht te staan. Dit toezicht houdt in dat wordt gekeken of de verplichtingen uit de richtlijn worden nageleefd. Zoals de zorg- en meldplicht. Op dit moment wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Wat kunnen organisaties van de overheid verwachten?
De NIS2-richtlijn verplicht de landen van de EU om kritieke, essentiële en belangrijke entiteiten te helpen bij het verbeteren van hun weerbaarheid tegen digitale risico’s. De richtlijn schrijft voor dat een CSIRT deze helpt met advies en ondersteuning. De hulp door de overheid kan ook bestaan uit informatie-uitwisseling, richtlijnen en instrumenten om de weerbaarheid te verhogen. Bijvoorbeeld instrumenten voor het uitvoeren van een risicobeoordeling.
Wat kunnen organisaties doen om zich voor te bereiden?
Voordat de nationale wetgeving er is, kunnen organisaties zich vast voorbereiden op hun zorgplicht. Dit kunnen ze doen door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de website van het Nationaal Cyber Security Centrum (NCSC) en op de website van het Digital Trust Center staan een aantal maatregelen die organisaties kunnen nemen om zich beter te beschermen tegen risico’s van en schade door cyberaanvallen. Ook kunnen organisaties:
- Risico’s inventariseren en analyseren.
- Bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing schrijven.
- Alternatieve toeleveringsketens identificeren.
- Personeel bewust maken van risico’s en te nemen maatregelen.
- Budget en capaciteit, die nodig zijn om aan de richtlijnen te voldoen, reserveren.
Voor wie?
- ondernemingen die actief zijn in een van de sectoren die hierboven staan en volgens de genoemde criteria een ‘essentiële’ of ‘belangrijke’ entiteit zijn
Wanneer?
- Rond de zomer 2023 start een internetconsulatie. In de consultatie kunnen burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen in de ontwerpwet aangeven.
- Naar verwachting gaat de wet eind 2024 in. Eerst moeten de Eerste en Tweede Kamer de wet behandelen. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.
Vragen?
Veel vragen kunnen nu nog niet beantwoord worden. Toch hoort de Rijksoverheid graag welke vragen uw organisatie heeft. Stel uw vraag dan ook aan het ministerie dat verantwoordelijk is voor de sector waarbinnen uw organisatie actief is. Zo weet de Rijksoverheid welke vragen er leven en beantwoord moeten worden.
Let op: De ingangsdatum van deze (wets)wijziging is nog niet definitief. Inwerkingtreding is afhankelijk van goedkeuring door de Tweede en Eerste Kamer of afkondiging van de Algemene Maatregel van Bestuur (AMvB) of ministeriële regeling én publicatie in het Staatsblad of de Staatscourant.