Bedrijven en overheden opgelet: nieuwe cybersecurity regels uit de NIS2-richtlijn zijn in aantocht

De laatste jaren is het aantal cyberdreigingen, variërend van cyberaanvallen op overheidsinstellingen tot ransomware-aanvallen op bedrijven, sterk toegenomen. Vanuit de Europese Unie (hierna: ‘EU’) is daarom sinds 2020 gewerkt aan de ‘Network and Information Security directive’, oftewel de NIS2-richtlijn. Deze richtlijn zal, net als zijn voorganger (de NIS-richtlijn), in Nederland worden omgezet in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Het toepassingsgebied van de Wbni wordt door de NIS2-richtlijn uitgebreid. Deze richtlijn gaat namelijk gelden voor meer sectoren. Ook gelden er door deze richtlijn strengere beveiligingsnormen en meldingseisen voor incidenten. Het doel is om het niveau van cyberbeveiliging in de EU te verhogen.

Op dit moment is de Nederlandse wetgever bezig met het omzetten van de NIS2-richtlijn in nationale wetgeving. Uiterlijk op 17 oktober 2024 moet de omzetting zijn afgerond. In deze blog zullen wij de hoofdlijnen van deze richtlijn voor u uiteenzetten. Voor wie geldt de richtlijn, wat verandert er en hoe kunnen overheden en bedrijven zich voorbereiden op de nieuwe cybersecurity regels.

De NIS2-richtlijn geldt voor organisaties die behoren tot bepaalde sectoren. Deze sectoren staan vermeld in bijlage I en II bij de richtlijn. Voorbeelden van sectoren zijn: gezondheidszorg, beheerders van ICT-diensten, overheidsdiensten en digitale infrastructuur. De sector overheid is “nieuw”, omdat deze niet in de oude richtlijn was opgenomen.

Indien een organisatie behoort tot één van de in de richtlijn genoemde sectoren, moet vervolgens worden gekeken of deze organisatie een zogenoemde ‘essentiële’ of ‘belangrijke’ entiteit is. Essentiële entiteiten zijn grote organisaties met minimaal 250 medewerkers of organisaties met een jaaromzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer. Belangrijke entiteiten zijn middelgrote organisaties met minimaal 50 werknemers of organisaties met een jaaromzet en balanstotaal van €10 miljoen of meer.

Als aan de hiervoor genoemde vereisten is voldaan, is de NIS2-richtlijn van toepassing. Vervolgens is het de vraag aan welke verplichtingen de betreffende organisatie moet voldoen.

Wanneer een organisatie onder de NIS2-richtlijn valt, moet deze organisatie allereerst voldoen aan de zogenoemde zorgplicht. Deze zorgplicht houdt in dat de organisatie zelf een risicobeoordeling moet uitvoeren. Op basis van deze risicobeoordeling dient de organisatie passende (beveiligings)maatregelen te nemen om de continuïteit van haar diensten te waarborgen en haar netwerk- en informatiesystemen te beschermen.

Ten tweede is er een meldplicht. Door deze meldplicht moet de organisatie incidenten, die het verlenen van de essentiële dienst ernstig (kunnen) verstoren, bij de betreffende (nog aan te stellen) toezichthouder melden. Deze melding dient plaats te vinden binnen 24 uur na het incident. Wanneer sprake is van een cyberincident moet de organisatie ook een melding doen bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand kan bieden. Voorbeelden van omstandigheden waardoor een incident gemeld moet worden zijn: de duur van de verstoring, financiële verliezen die mogelijk worden geleden door de verstoring en het aantal personen dat daardoor is geraakt.

Tot slot komen organisaties, waarvoor de NIS2-richtlijn geldt, onder toezicht te staan. Volgens de richtlijn moet een (nog aan te stellen) onafhankelijk toezichthouder beoordelen of organisaties hun verplichtingen op grond van de richtlijn nakomen.

Aangezien de overheid niet onder de oude NIS-richtlijn viel, heeft de NIS2-richtlijn in ieder geval gevolgen voor de overheidsinstanties die onder deze nieuwe richtlijn vallen. Voor de overheid geldt dat de bestaande kaders voor informatiebeveiliging de basis vormen om te voldoen aan de NIS2-zorgplicht. Het gaat hierbij onder andere om de ‘Baseline Informatiebeveiliging Overheid (BIO)’. Het voldoen aan de huidige verplichtingen is voor overheidsinstanties dus een belangrijk beginpunt.

Verder kunnen alvast maatregelen worden genomen ter verbetering van de veiligheid en weerbaarheid van processen en diensten. Hierbij kunt u denken aan het uitvoeren van een risico-inventarisatie en -analyse. Een ander voorbeeld is het opstellen van een ‘incident response plan’. Met behulp van een dergelijk plan kan een organisatie gecoördineerd actie ondernemen na een incident.

Tot slot

In deze blog werd kort stilgestaan bij de inhoud van de NIS2-richtlijn en de gevolgen hiervan voor bedrijven en overheden. Heeft u vragen naar aanleiding van deze blog of wilt u meer informatie over de NIS2-richtlijn? Neem dan contact op met onze cybersecurity specialisten: Hillie Lunter, Tom Klatter of Esther van den Worm.