Waar komen we vandaan?
De NIS2-richtlijn is de opvolger van de NIS1-richtlijn. NIS1 was de eerste richtlijn met een kader om de cybersecurity in de EU naar een hoger plan te tillen. De NIS1 (of NIB1) leidde in Nederland tot de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De WBNI is van toepassing op vitale aanbieders uit onder meer de energie-, de financiële en vervoerssector en voor digitale dienstverleners.
Veel meer sectoren onder de nieuwe wetgeving
Een van de opvallende wijzigingen aan NIB2 is het veel grotere toepassingsbereik. Waar de NIS1 nog zag op een beperkt aantal sectoren en aanbieders (zie hiervoor), is de NIS2 van toepassing op alle middelgrote (en grotere ondernemingen) uit de volgende sectoren:
- zeer kritieke sectoren:
- energie;
- vervoer;
- bankwezen;
- financiele infrastructuur;
- gezondheidszorg;
- drinkwater;
- afvalwater;
- digitale infrastructuur;
- B2B beheer van ICT;
- overheid;
- ruimtevaart;
- Andere kritieke sectoren
- post- en koeriersdiensten
- afvalstoffenbeheer;
- chemische sector;
- levensmiddelensector;
- vervaardiging van medische hulpmiddelen, informatica-/electronicaproducten, machines, motorvoertuigen en transportmiddelen
- digitale aanbieders
- onderzoeksorganisaties.
NB. Ik vat het hier wat vrij samen, zie voor details de lijst in bijlage 1 en 2 van het besluit.
Daarnaast is de richtlijn van toepassing op (zie artikel 2 lid 2):
-
aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten;
-
aanbieders van vertrouwensdiensten;
-
registers voor topleveldomeinnamen en verleners van domeinnaamregistratiediensten;
- door de lidstaten zelf aanvullend aangewezen sectoren;
- de centrale overheid van lidstaten en door lidstaten aangewezen lagere overheden.
Passende maatregelen nemen
Alle zogenaamde essentiële en belangrijke entiteiten (lees; de middelgrote instellingen uit voorgaande sectoren) moeten straks passende en en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, om incidenten te voorkomen en de gevolgen van incidenten te beperken.
De norm van "passende beveiliging" kennen we ook uit de privacywetgeving. Nieuw is dat deze norm dus niet langer alleen geldt voor de beveiliging van persoonsgegevens, maar voor het gehele IT-landschap (ongeacht of daar persoonsgegevens mee worden verwerkt.
Verder valt op dat - anders dan in de AVG/GDPR - in deze wetgeving behoorlijk gedetailleerd is uitgewerkt waaruit de te nemen maatregelen in ieder geval dienen te bestaan (zie artikel 21 lid 2).
Specifiek voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten en aanbieders van vertrouwensdiensten zal de Europese Commissie bovendien met specifieke maatregelen komen (artikel 21 lid 5). En voor andere sectoren mag de EC uitvoeringshandelingen vaststellen. De Europese Unie trekt de teugels dus stapje voor stapje aan en tolereert onveilige ICT domweg niet langer.
Meldplicht beveiligingsincidenten
Ook de meldplicht voor beveiligingsincidenten - die we op zich al kennen uit de WBNI - wordt aangescherpt en verruimd. In de eerste plaats gebeurt dit omdat de NIS2 op veel meer sectoren van toepassing is dan de NIS1. De termijn om te melden is bovendien met 24 uur kort te noemen (zie artikel 23 lid 4a). En binnen een maand moet er in beginsel al een eindverslag liggen, zij het dat indien het incident dan nog voortduurt er binnen een maand na afronding een eindverslag moet liggen (ik verwacht dat dit in de praktijk neerkomt op een maandelijkse update).
In de NIS2 zijn ook allerlei voorzieningen opgenomen over informatieuitwisseling over incidenten tussen toezichthouders en publieksvoorlichting indien dat bij incidenten nodig is. Alles om maar het veiligheidsniveau algeheel naar een hoger plan te tillen.
Certificering kan verplicht worden
De NIS2 richtlijn biedt ook ruimte aan de lidstaten om van de partijen die onder de regelgeving vallen te eisen dat zij alleen gecertificeerde ICT-producten gebruiken (artikel 24).
Dit zal het gebruik van dergelijke certificering in de praktijk vermoedelijk stevig aanmoedigen. De vraag is tegelijkertijd ook of dit in de praktijk geen beletsel gaat zijn voor de wat kleinere leverancier van ICT-producten, zeker wanneer gecertificeerd worden omslachtig blijkt te zijn.
Handhaving en boetes
De richtlijn bepaalt verder dat er ook effectieve handhaving zal moeten zijn en dat er waar nodig doeltreffende, evenredige en afschrikwekkende sancties worden opgelegd bij overtreding. Er kunnen boetes worden opgelegd die kunnen oplopen tot (zie artikel 34):
- voor essentiële entiteiten: 10 miljoen of 2% van de wereldwijde jaaromzet.
- voor belangrijke entiteiten: 7 miljoen of 1,4% van de wereldwijde jaaromzet.
Indien een overtreding tevens een overtreding is van de AVG is en er wordt door de privacytoezichthouders een boete opgelegd, dan volgt er geen dubbele boete (voor zover het dezelfde gedraging betreft). Wel kan door de toezichthouders op deze NIS2 richtlijn nog wel steeds anderszins handhavend worden opgetreden (artikel 35).
Voor de helderheid: op de WBNI wordt op dit moment toegezien door andere toezichthouders dan de Autoriteit Persoonsgegevens.
Meer coördinatie en samenwerking
Verder bevat de NIS2 richtlijn zeer veel regelingen omtrent Europese samenwerking tussen de verschillende toezichthouders. Dat laat ik voor deze blog even voor wat het is.
Omzetting uiterlijk 17 oktober 2024
De NIS2-richtlijn moet uiterlijk 17 oktober 2024 worden omgezet in nationaal recht (artikel 41). De richtlijn laat her en der wat keuzes voor nationale invulling, dus we gaan zien welke keuzes Nederland hierin maakt. We houden u op de hoogte.
Vragen?
Heeft u vragen over het voorgaande? Neem gerust contact op.