- Wat zijn de verschillen tussen verplichtingen vanuit de NIS2-richtlijn en dat wat in de BIO (de Baseline Informatieveiligheid Overheid) is geregeld?
- Hoe verhoudt de zorgplicht vanuit de NIS2-richtlijn zich tot bestaande normen, zoals de NEN7510 en ISO 27001?
- Welke overheidsinstanties vallen onder de NIS2-richtlijn?
- Vallen gemeenten onder NIS2 als essentiële entiteit of als belangrijke entiteit?
- Moeten toeleveranciers ook voldoen aan verplichtingen van NIS2?
- Wanneer is een entiteit verplicht een incident te melden?
- Is er al een toezichthouder voor de sector Overheid?
- Hoe verhouden NIS2 en ENSIA zich tot elkaar?
- Zorgt het toezicht niet voor grote administratieve lasten voor overheden?
- Hoe zit het met de aansprakelijkheid voor bestuur of directie bij niet-naleving van verplichtingen vanuit de richtlijn bij overheidsinstanties?
Zorgplicht
1. Wat zijn de verschillen tussen verplichtingen vanuit de NIS2-richtlijn en dat wat in de BIO (de Baseline Informatieveiligheid Overheid) is geregeld?
De verplichtingen vanuit de NIS2-richtlijn voor de zorgplicht zijn in grote mate in lijn met bestaande kaders voor informatiebeveiliging bij de overheid. Zoals de Baseline Informatieveiligheid Overheid (BIO). Het voornemen is om de zorgplicht voor overheidsorganisaties via de BIO in te vullen. Er wordt dus zoveel mogelijk aan bestaande normenkaders vastgehouden. Het is belangrijk dat organisaties controleren of zij aan deze kaders voldoen.
Het ministerie van Binnenlandse Zaken heeft in samenwerking met de koepelorganisaties een mapping van NIS2-maatregelen voor entiteiten en de beveiligingsnormen NEN-EN-ISO/IEC 27002 (nl) gepubliceerd. Deze mapping is niet bedoeld om aan te geven in hoeverre de huidige BIO al invulling geeft aan de NIS2-maatregelen. Het ministerie van BZK werkt momenteel aan de doorontwikkeling van de Baseline Informatiebeveiliging Overheid (BIO) naar de BIO2.0. In 2022 is een evaluatie gedaan naar de BIO. Punten die uit deze evaluatie naar voren zijn gekomen en de additionele eisen die NIS2 met zich meebrengen, worden verwerkt in de BIO2.0.
2. Hoe verhoudt de zorgplicht vanuit de NIS2-richtlijn zich tot bestaande normen, zoals de NEN7510 en ISO 27001?
Vanuit de sectoren die onder de NIS2-richtlijn vallen wordt met nadere regelgeving aangeduid hoe de zorgplicht specifieker ingevuld kan worden. Voor de sector overheid gebeurt dat via de Baseline Informatiebeveiliging Overheid (BIO). Vanuit andere sectoren kunnen andere normen, zoals de NEN 7510 (geldend in de zorg) worden vastgesteld. Dat bepalen de verantwoordelijke ministeries.
Reikwijdte
3. Welke overheidsinstanties vallen onder de NIS2-richtlijn?
Onder de NIS2-richtlijn zullen in elk geval de volgende overheidsentiteiten worden aangemerkt als essentiële entiteiten:
- De centrale overheid (departementen en onderliggende diensten, agentschappen);
- Provincies;
- Waterschappen;
- Gemeenten.
Voor de volgende organisaties moet eerst bepaald te worden of zij voldoen aan de 4 criteria voor overheidsinstanties in de NIS2-richtlijn:
- Zelfstandige bestuursorganen: de verwachting is dat zelfstandige bestuursorganen die onder de Kaderwet zelfstandige bestuursorganen vallen, grotendeels voldoen aan de criteria voor overheidsinstanties. Zij worden onder NIS2 aangemerkt als essentiële entiteit.
- Gemeenschappelijke regelingen (waaronder omgevingsdiensten).
De omvangscriteria (omzet en aantal FTE’s) die gelden voor andere sectoren onder de NIS2-richtlijn zijn niet van toepassing op overheidsinstanties.
Voor overheidsinstanties gelden wel een aantal andere uitzonderingen. Zo zijn bijvoorbeeld organisaties die hoofdzakelijk activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving (inclusief het voorkomen, onderzoeken en opsporen van strafbare feiten) uitgezonderd van de NIS2. Overheidsinstanties die activiteiten uitvoeren die zijdelings te maken hebben met nationale veiligheid et cetera vallen wel onder toepassing van de richtlijn.
4. Vallen gemeenten onder NIS2 als essentiële entiteit of als belangrijke entiteit?
Gemeenten vallen onder NIS2 als essentiële entiteit, zoals ook is gecommuniceerd door staatssecretaris van Koninkrijksrelaties en Digitalisering Alexandra van Huffelen via een brief aan de koepelvertegenwoordigers. Gemeenten, provincies en waterschappen zijn ook verantwoordelijk voor het aanbieden van meerdere essentiële diensten, zoals het wegbeheer of de afvalwater-voorziening. Om die reden vallen zij onder reikwijdte van NIS2.
Het onderscheid tussen essentiële en belangrijke entiteiten onder de NIS2-richtlijn zit in het toezicht. BZK werkt samen met verschillende vakdepartementen, koepelorganisaties en toezichthouder om vorm te geven aan hoe dit toezicht eruit komt te zien.
5. Moeten toeleveranciers ook voldoen aan verplichtingen van NIS2?
Leveranciers die producten of diensten leveren aan entiteiten onder de NIS2-richtlijn, vallen soms zelfstandig, maar zeker niet automatisch onder reikwijdte van de NIS2-richtlijn.
Entiteiten die onder de NIS2 vallen hebben in het kader van de zorgplicht wel een verplichting om de beveiliging van de toeleveringsketen in kaart te brengen. Een leverancier kan dus verwachten dat een NIS2-entiteit informatie opvraagt over de maatregelen die de leverancier neemt ten aanzien van cyberrisico’s en/of hier zelf eisen aan stelt.
Meldplicht
6. Wanneer is een entiteit verplicht een incident te melden?
De NIS2-richtlijn verplicht entiteiten om ‘significante incidenten’ binnen 24 uur te melden bij de toezichthouder en het eigen Computer Security Incident Response Team (CSIRT). Drempelwaarden die bepalen wanneer er sprake is van een significant incident kunnen in nadere regelgeving per sector worden vastgesteld. De verschillende vakdepartementen werken dit momenteel uit.
Naast deze verplichte meldingen van incidenten, krijgen/houden entiteiten de mogelijkheid om incidenten vrijwillig te melden bij hun CSIRT’s. Zo kunnen organisaties ook bij deze incidenten door hun CSIRT’s worden ondersteund. Verder stimuleert dit organisaties om incidenten te melden bij hun CSIRT.
Toezicht
7. Is er al een toezichthouder voor de sector Overheid?
De Rijksinspectie voor Digitale Infrastructuur (RDI) wordt aangewezen als toezichthouder voor de overheid. De RDI gaat toezicht houden op het hele stelsel van informatieveiligheid en baseert zich hierbij met name op informatie die voortkomt uit bestaande verantwoordings- en toezichtsstructuren. De staatssecretaris van Koninkrijksrelaties en Digitalisering heeft in november 2023 hierover een brief aan de koepelvertegenwoordigers gestuurd over de gevolgen van NIS2 bij de overheid.
8. Hoe verhouden NIS2 en ENSIA zich tot elkaar?
ENSIA (Eenduidige Normatiek Single Information Audit) is het bestaande verantwoordingsinstrument voor informatieveiligheid dat colleges van gemeenten gebruiken om enkelvoudig verantwoording af te leggen aan de gemeenteraad. Gelijktijdig kunnen zij zich verantwoorden richting specifieke stelselhouders (zoals BRP en DigiD). Er wordt onderzocht hoe ENSIA aangepast kan worden ten behoeve van het NIS2-toezicht. Op basis van de informatie uit ENSIA kan de toezichthouder bijvoorbeeld bepalen waar aanvullend onderzoek noodzakelijk is.
9. Zorgt toezicht niet voor grote administratieve lasten voor overheden?
Bij het toezicht op NIS2 wordt zoveel mogelijk gebruik gemaakt van bestaande verantwoordingsstructuren. De hierbij verzamelde informatie kan worden gebruikt door de toezichthouder. Dan hoeven overheden niet opnieuw informatie te verzamelen voor het toezicht. Dit moet ervoor zorgen dat overheden hun tijd en capaciteit kunnen steken in daadwerkelijk beveiligen. Ook is de gedachte dat minder toezicht noodzakelijk is naarmate overheidsorganisaties volwassener zijn.
Aansprakelijkheid
10. Hoe zit het met de aansprakelijkheid voor bestuur of directie bij niet-naleving van verplichtingen vanuit de richtlijn bij overheidsinstanties?
NIS2 brengt voor overheidsbestuurders geen nieuwe aansprakelijkheden met zich mee, buiten dat wat al bestond. Dat betekent dus niet dat er helemaal geen aansprakelijkheid binnen overheidsinstanties is. Momenteel kunnen bestuurders bijvoorbeeld al bij grove nalatigheid aansprakelijk worden gesteld. Bovendien staat de aansprakelijkheid van bestuurders los van de politieke verantwoordelijkheden die bestaan bij overheidsinstanties.
De NIS2-richtlijn bevat een bepaling over de aansprakelijkheid voor bestuurders in het geval van niet-nakomen van verplichtingen van de richtlijn. Deze bepaling is niet direct van toepassing op overheidsinstanties. De NIS2-richtlijn geeft namelijk aan dat geen afbreuk kan worden gedaan aan nationaal recht inzake aansprakelijkheid van ambtenaren en gekozen of benoemde overheidsfunctionarissen.