- Wat is de NIS2-richtlijn?
- Welke verplichtingen schrijft de NIS2-richtlijn voor?
- Voor welke overheidsinstanties geldt de NIS2?
- Wat kunnen overheidsorganisaties doen om zich voor te bereiden?
- Hoe verloopt de tijdlijn van EU-richtlijn naar nationale wetgeving?
- Meedenken over de implementatie van de NIS2-richtlijn?
1. Wat is de NIS2-richtlijn?
De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren te omvatten. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2-richtlijn wordt momenteel vertaald naar Nederlandse wetgeving. Lees hier meer over in ‘Gevolgen niet-tijdig omzetten NIS2 in nationale wetgeving’.
De afgelopen jaren zetten ontwikkelingen als de covid-19-epidemie, de oorlog in Oekraïne, cyberdreigingen en de gevolgen van klimaatverandering, de veiligheid van onze maatschappij en economie in toenemende mate onder druk. In het licht hiervan is er sinds 2020 vanuit de EU gewerkt aan de NIS2-richtlijn. De richtlijn is gericht op het verbeteren van de digitale en economische weerbaarheid van Europese lidstaten.
De NIS2-richtlijn gaat in op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Dit moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties in de EU. Het is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
2. Welke verplichtingen schrijft de NIS2-richtlijn voor?
- Zorgplicht – De richtlijn bevat een zorgplicht die organisaties verplicht zelf een risicobeoordeling uit te voeren. Op basis van deze risicobeoordeling nemen zij passende maatregelen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Vanuit de verschillende sectoren van NIS2 worden nadere regels gesteld aan de zorgplicht. Voor de overheid omvat dit in elk geval de Baseline Informatiebeveiliging Overheid (BIO) 2.0.
- Meldplicht – De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de continuïteit van dienstverlening van de essentiële entiteit aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), die hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen. De drempelwaarden in specifieke sectoren wordt in nadere regelgeving verder uitgewerkt.
- Toezicht – Organisaties die onder de richtlijn vallen, krijgen ook verplicht toezicht. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (niet te verwarren met interbestuurlijk toezicht in het geval van medeoverheden) kijkt naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Voor de overheid wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. De RDI maakt voor het toezicht op NIS2 voor de overheid gebruik van bestaande verantwoordingsstructuren. Dit om mogelijke administratieve lasten van het toezicht tot een minimum te beperken.
3. Voor welke overheidsinstanties geldt de NIS2?
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. De sector ‘Overheid was nog geen sector onder de eerste NIS-richtlijn, maar valt nu wel binnen de scope van de NIS2-richtlijn. Voor de sector Overheid gelden een aantal uitzonderingen. Zo gelden de omvangscriteria voor hen niet. Ook mogen lidstaten zelf een aantal zaken bepalen ten aanzien van overheidsorganisaties.
Bekijk de sectoren die onder de NIS2-richtlijn vallen en de criteria daarvoor.
De NIS2-richtlijn is van toepassing op:
- Onderdelen van de centrale overheid (Rijksoverheid) vallen onder de NIS2-richtlijn als essentiële entiteiten. Zelfstandige bestuursorganen vallen onder de werking van NIS2 voor zover zij voldoen aan de criteria die NIS2 hanteert om een overheidsentiteit te zijn. De verwachting is dat dit geldt voor het overgrote deel van zelfstandige bestuursorganen die onder de Kaderwet zelfstandige bestuursorganen vallen.
- Het is aan de lidstaten zelf om een afweging te maken of lokale overheden (gemeenten, waterschappen en provincies) onder de NIS2-richtlijn vallen. Voor Nederland geldt dat lokale overheden onder de richtlijn worden aangewezen als essentiële entiteiten. Medeoverheden zijn ook verantwoordelijk voor het aanbieden van meerdere essentiële diensten, zoals het wegbeheer of de afvalwater-voorziening, en vallen om die reden ook onder de reikwijdte van de NIS2. Tevens vallen gemeenschappelijke regelingen onder de werking van de richtlijn, voor zover zij voldoen aan de criteria die NIS2 hanteert om een overheidsentiteit te zijn.
Uitzondering NIS2 voor overheidsorganisaties
De NIS2-richtlijn biedt een uitzondering voor overheidsinstanties die hoofdzakelijk activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving (inclusief het voorkomen, onderzoeken en opsporen van strafbare feiten). Dit betekent bijvoorbeeld dat het ministerie van Defensie, de veiligheidsregio’s en de politie zijn uitgesloten van de NIS2-richtlijn. Overheidsinstanties die activiteiten uitvoeren die zijdelings te maken hebben met nationale veiligheid et cetera, vallen wel onder toepassing van de richtlijn. Deze organisaties dienen wel een gelijk niveau van weerbaarheid te hebben. Op den duur kijkt BZK naar de mogelijkheid om de verplichtingen vanuit NIS2 ook (gedeeltelijk) op deze organisaties toe te passen.
4. Wat kunnen overheidsorganisaties doen om zich voor te bereiden?
Voor overheidsorganisaties geldt specifiek dat zij momenteel al moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). De BIO wordt onderdeel van de zorgplicht van NIS2 voor de overheid. Het voldoen aan de BIO en andere bestaande kaders voor informatiebeveiliging bij de overheid, zijn dus een belangrijk beginpunt. De NIS2-richtlijn brengt enkele andere maatregelen met zich mee die nu nog geen onderdeel zijn van de BIO. Het ministerie van BZK heeft in samenwerking met de koepelorganisaties een mapping gepubliceerd van NIS2-maatregelen voor entiteiten en de beveiligingsnormen NEN-EN-ISO/IEC 27002 (nl). Het is goed om hier ook naar te kijken, zodat bepaald kan worden waar een overheidsorganisatie extra aandacht aan moet besteden.
Daarnaast worden op verschillende websites meer algemene tips gegeven die organisaties helpen zich voor te bereiden op de NIS2-richtlijn, onder meer via het Digital Trust Center en het Nationaal Cyber Security Centrum. Hier komt naar voren dat het belangrijk is om als organisatie een risicoanalyse te maken van digitale dreigingen waarmee je te maken kan hebben. Deze analyse kan je gebruiken om maatregelen te formuleren die helpen met het beschermen tegen deze risico’s.
5. Hoe verloopt de tijdlijn van EU-richtlijn naar nationale wetgeving?
Lees meer over de planning van het vertalen van de NIS2-richtlijn naar nationale wetgeving.
Heb je andere vragen over de toepassing van de NIS2-richtlijn voor overheidsorganisaties? Kijk dan ook eens bij de veelgestelde vragen over NIS2.