Cyberbeveiliging: de impact van de NIS2-richtlijn (deel 1)

18/07/2024 – In een wereld waar informatiesystemen essentieel zijn voor vrijwel alle facetten van de bedrijfsvoering binnen organisaties, is cyberbeveiliging van essentieel belang. Om de cyberweerbaarheid van essentiële diensten in de EU-lidstaten te versterken, heeft de Europese Unie de Network and Information Security Directive (NIS1-richtlijn) vastgesteld. De NIS2-richtlijn volgt de NIS1-richtlijn op en breidt deze uit. De NIS2 stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten vast. Daarnaast wordt het aantal sectoren uitgebreid onder NIS2. Deze blog gaat in op enkele veranderingen die worden geïntroduceerd in de aangepaste richtlijn. Het is voor organisaties van belang om op de hoogte te zijn van deze veranderingen en vroegtijdig te starten met de voorbereidingen om de nieuwe verplichtingen effectief te kunnen implementeren. 

Cyberbeveiligingswet 

De NIS2-richtlijn is in januari 2023 in werking getreden en zal in Nederland worden geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). De inwerkingtreding van deze wet was oorspronkelijk gepland op 17 oktober 2024, maar zal naar verwachting pas begin 2025 plaatsvinden.  

Naast de implementatie van de NIS2-richtlijn wordt momenteel ook de Critical Entities Resilience Directive (CER-richtlijn) ingevoerd. Terwijl de CER-richtlijn zich richt op het beschermen van organisaties tegen fysieke dreigingen zoals terroristische misdrijven, sabotage en natuurrampen, richt de NIS2-richtlijn zich op digitale (cyber)risico's voor netwerk- en informatiesystemen, zoals internet en betalingssystemen. Deze richtlijnen worden gezamenlijk geïntegreerd.  

Het Nationaal Cyber Security Centrum (NCSC) benadrukt dat de gelijktijdige implementatie van zowel de CER- als de NIS2-richtlijn een complex traject vormt. Ook is de impact van de NIS2-richtlijn significant door de uitbreiding naar meer sectoren en de extra verantwoordelijkheden voor betrokken partijen en toezichthoudende instanties. De implementatie van de NIS2-richtlijn heeft in Nederland vertraging heeft opgelopen vanwege deze complexiteit en impact.  

Doel van de NIS2-richtlijn 

De NIS2-richtlijn is gericht op de verbetering van de digitale weerbaarheid van belangrijke en essentiële diensten en organisaties. De richtlijn is ontwikkeld om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Europese Unie te bereiken en om de werking van de interne markt te verbeteren. De oorspronkelijke NIS1-richtlijn liet lidstaten veel discretionaire ruimte bij de uitvoering, terwijl de NIS2-richtlijn naar verwachting meer uniformiteit zal brengen in de toepassing van cyberbeveiligingsmaatregelen binnen de lidstaten.  

Ruimer toepassingsgebied 

In tegenstelling tot de NIS1-richtlijn, bepaalt de NIS2-richtlijn op een andere wijze welke entiteiten binnen het toepassingsgebied vallen. Onder NIS1 hadden lidstaten de vrijheid om te bepalen welke organisaties als aanbieders van essentiële diensten werden aangemerkt, afhankelijk van hun nationale behoeften en context. Onder NIS2 vallen entiteiten automatisch binnen het toepassingsgebied als ze actief zijn in een van de genoemde sectoren en aan specifieke criteria voldoen. Andere entiteiten kunnen onder bepaalde voorwaarden worden aangewezen als essentiële of belangrijke entiteit, waardoor zij eveneens onder het toepassingsbereik van de richtlijn komen te vallen. 

Essentiele- en belangrijke entiteiten 

De NIS2-richtlijn maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Aan de hand van de sector waarin een organisatie actief is en de grootte van de organisatie, wordt bepaald of deze onder de reikwijdte van de NIS2-richtlijn valt en daarmee ook onder de Cbw. Een organisatie wordt als een essentiële entiteit beschouwd als deze actief is in een sector genoemd in bijlage I van de NIS2-richtlijn en een grote organisatie is.  

Een organisatie wordt als een belangrijke entiteit beschouwd als deze actief is in een sector genoemd in bijlage I van de NIS2-richtlijn en een middelgrote organisatie is, of actief is in een sector genoemd in bijlage II van de NIS2-richtlijn en een grote of middelgrote organisatie is. Of een organisatie groot of middelgrote is, wordt bepaald aan de hand van het aantal personen dat werkzaam is binnen de organisatie en de jaaromzet.  

Het onderscheid tussen essentiële en belangrijke entiteiten onder de NIS2-richtlijn is van belang voor het toezichtsregime. Essentiële entiteiten worden onderworpen aan een uitgebreider toezicht dan belangrijke entiteiten. Belangrijke entiteiten krijgen lagere financiële sancties opgelegd en worden onderworpen aan reactief toezicht van autoriteiten. De NIS2-richtlijn legt echter geen verschillende verplichtingen op aan deze twee categorieën.  

Nieuwe sectoren 

Onder vallen een aantal nieuwe sectoren die voorheen niet onder de NIS1-richtlijn vielen, waaronder de overheid. De NIS2-richtlijn laat het aan lidstaten om te bepalen of lokale overheden zoals gemeenten, waterschappen en provincies aan de verplichtingen uit de richtlijn moeten voldoen. Recentelijk is in het Nederlandse wetsvoorstel voor de Cyberbeveiligingswet opgenomen dat decentrale overheden, inclusief gemeenten, waterschappen en provincies, als essentiële entiteiten worden beschouwd. Ook de sectoren ruimtevaart, post- en koeriersdiensten, afvalstoffenbeheer en onderzoek gericht op commerciële doeleinden alsmede de sub-sectoren waterstof en stadsverwarming (onder de sector energie) zijn toegevoegd.  

Conclusie  

Met de invoering van de NIS2-richtlijn en de aankomende Cyberbeveiligingswet in Nederland worden organisaties die voorheen niet onder de NIS1-richtlijn vielen, geconfronteerd met strengere verplichtingen en uitgebreidere cyberbeveiligingsmaatregelen. Eén van de belangrijkste veranderingen is het ruimere toepassingsgebied, waarbij nu bijvoorbeeld ook de sector overheid onder de richtlijn valt. Het is van groot belang dat deze organisaties zich goed voorbereiden op de naleving van deze nieuwe wetgeving door uit te zoeken of zij als essentiële of belangrijke entiteit kwalificeren. Door vervolgens proactief maatregelen te nemen, kunnen organisaties die nu wel onder het toepassingsgebied van de NIS2-richtlijn vallen, zich effectiever beschermen tegen toenemende cyberdreigingen en bijdragen aan een veerkrachtig cyberbeveiligingslandschap binnen de Europese Unie.