Wat is de NIS2-richtlijn?
De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten. Daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2 wordt momenteel naar Nederlandse wetgeving vertaald.
De afgelopen jaren zien we dat verschillende ontwikkelingen de veiligheid van onze maatschappij en economie steeds meer onder druk zetten. Denk daarbij aan COVID-19, de Oekraïne-oorlog, cyberdreigingen en de gevolgen van klimaatverandering. Daarom is er sinds 2020 vanuit de Europese Unie aan de Network and Information Security (NIS2) directive gewerkt. De NIS2-richtlijn richt zich op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. Deze richtlijn wordt momenteel in nationale wetgeving omgezet.
De richtlijn stuurt op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de NIS2-richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. Het is de opvolger van de eerste NIS-richtlijn, de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Wat betekent de NIS2-richtlijn voor jouw organisatie?
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen, en op een aantal nieuwe sectoren. Een belangrijk verschil met de eerste richtlijn is dat de sector Overheid er nu ook binnen valt. De richtlijn bevat een toelichting over welke specifieke overheidsinstanties onder de verplichtingen vallen:
- Onderdelen van de centrale overheid (Rijksoverheid en zelfstandige bestuursorganen) vallen onder de NIS2-richtlijn als essentiële entiteiten.
- Het is aan de lidstaten zelf om lokale overheden (gemeenten, waterschappen en provincies) onder de NIS2-richtlijn te laten vallen. De bedoeling is om medeoverheden onder de richtlijn aan te wijzen. Dit gezien bestaande beleidsvoornemens tot wettelijke verankering van de BIO, en het inregelen van toezicht voor de gehele overheid.
- De NIS2-richtlijn biedt een uitzondering voor overheidsinstanties die vooral activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving (inclusief het voorkomen, onderzoeken en opsporen van strafbare feiten). Dit betekent dat bijvoorbeeld de veiligheidsregio’s of de politie van de NIS2-richtlijn zijn uitgesloten. Overheidsinstanties met activiteiten die indirect te maken hebben met bijvoorbeeld nationale veiligheid vallen wel onder toepassing van de richtlijn.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
- Zorgplicht – De richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling te doen. Op basis daarvan nemen zij passende maatregelen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht – De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur bij de toezichthouder moeten melden. Het gaat om incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht – Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (buiten eventueel interbestuurlijk toezicht) naar de naleving van de verplichtingen uit de richtlijn kijkt. Zoals de zorg- en meldplicht. Momenteel wordt bekeken onder welke toezichthouder de sector Overheid komt te vallen (dit is nog niet bekend) en wat het toezicht inhoudt. Het is de bedoeling om gebruik te maken van bestaande verantwoordingsstructuren. Ook wordt gestreefd naar harmonisering van deze verantwoordingsstructuren. Bevindingen uit onderzoeken naar toezicht in opdracht van het ministerie van BZK (2019 en 2022 ) worden hierin meegenomen.
Wat kunnen organisaties alvast doen om zich voor te bereiden?
Het voldoen aan bestaande kaders voor informatiebeveiliging bij de overheid, waaronder de Baseline Informatiebeveiliging Overheid (BIO), vormt de basis om invulling te geven aan de zorgplicht die uit NIS2 volgt. Het volgen van de huidige verplichtingen is dus een belangrijk beginpunt.
Voor overheidsinstanties geldt dat de invulling van de NIS2-zorgplicht zoveel mogelijk langs de lijnen van bestaande kaders zal gebeuren. Organisaties die voorheen nog niet aan de bestaande kaders voor informatiebeveiliging voldeden, hebben hier vanuit NIS2 nu wel verplichting toe.
Waarschijnlijk wordt de BIO met een aantal verplichtingen uitgebreid. Wat dat precies betekent, wordt nog bepaald.
Hoe verloopt de tijdlijn van EU-richtlijn naar nationale wetgeving?
Bekijk de planning van het vertalen van de NIS2-richtlijn naar nationale wetgeving.
Meedenken over de implementatie van de NIS2-richtlijn?
De vertaling van de NIS2-richtlijn naar Nederlandse wetgeving is gestart. Stapsgewijs zal er meer duidelijkheid komen over de concrete invulling ervan.
Binnenkort start een consultatieperiode waarin burgers, bedrijven en overheidsinstellingen mee kunnen denken over de wet- en regelgeving die in voorbereiding is. Heb je nog suggesties of opmerkingen over de (invulling) van de richtlijn? Deel ze via het contactformulier.
Meer weten?
Vind je hier niet de informatie die je zoekt? Kijk dan ook eens bij de veelgestelde vragen over de NIS2-richtlijn.