Management

Juridische zaken
Justitie

NIS2 - strenger, breder en veeleisender voor bestuurder

Nieuwe richtlijn uitgelegd

16 januari 2023

Nieuwe richtlijn uitgelegd

NIS2, de nieuwe Europese Network and Information Security-richtlijn (NIS2), is nu in werking en moet over anderhalf jaar in Nederlandse wetgeving zijn omgezet. Niet alleen geldt NIS2 voor veel meer organisaties, zijn de eisen strenger en de boetes hoger. En er wordt meer van bestuurders geëist, zien Jouko en Hugo van Aardenne.

Op 27 december 2022 heeft de Europese Unie de tekst van de tweede Network and Information Security-richtlijn (hierna: NIS2) definitief gepubliceerd. De richtlijn is 20 dagen later – dus op 16 januari 2023 - in werking getreden, en uiterlijk op 17 oktober 2024 moet de tekst van deze richtlijn in ons land in nationale wetgeving zijn omgezet. Het gevolg is dat er nu snel meer verplichtingen voor meer bedrijven gaan gelden om hun cyberweerbaarheid naar een hoger niveau te brengen.

De eerste NIS-richtlijn geldt al sinds 2016, en deze is omgezet in Nederland in de Wet Beveiliging netwerk- en informatiesystemen (hierna: Wbni).

Voor diverse bedrijven gelden op dit moment dus ook al diverse verplichtingen. Daarbij moet (kort gezegd) worden gedacht aan het beheersen van risico’s voor de beveiliging, verplichtingen om te voorkomen dat zich (cyber)incidenten voordoen en verplichtingen die gelden wanneer zich desondanks toch een dergelijk incident voordoet. Daar hoort bijvoorbeeld een meldplicht bij.

Maar voor welke entiteiten gelden thans (via de Wbni) de verplichtingen uit de huidige NIS-richtlijn? En wat verandert daarin?

De huidige Wbni

Onder de werking van de huidige Wbni vallen “digitale dienstverleners” en “vitale aanbieders”. Digitale dienstverleners zijn online marktplaatsen, online zoekmachines en cloudcomputerdiensten. Vitale aanbieders zijn “aanbieders van een essentiële dienst” en “aanbieders van een andere vitale dienst”. In het Besluit netwerk- en informatiebeveiliging wordt dit nader uitgewerkt. Hierin staan diverse sectoren genoemd, en binnen die sectoren zijn bepaalde aanbieders de aanbieders van essentiële diensten. Binnen de sector ‘Energie/Elektriciteit’ zijn de netbeheerders bijvoorbeeld de aanbieders van essentiële diensten. Dat geldt ook voor de sector ‘Energie/Gas’, waar verder ook de NAM als zodanig is aangewezen. Binnen de sector ‘Vervoer’ gaat het bijvoorbeeld om spoorwegondernemingen, de Divisie Havenmeester van het Rotterdamse Havenbedrijf, en om de wegenautoriteiten. Binnen de sector ‘Bankwezen’ gaat het om diverse banken, en binnen de sector ‘Infrastructuur voor de financiële markt” gaat het om instanties die effectenverkeer aanbieden en afhandelen. Tot slot noemen we drinkwaterbedrijven (sector ‘drinkwater’) en diverse bedrijven met een belangrijke rol op het gebied van faciliteren van internet- en dataverkeer en op het gebied van het verlenen van DNS-diensten.

De toekomstige Wbni

We moeten in de NIS2 kijken om te zien welke entiteiten in de toekomst onder de werking van de Wbni zullen vallen.

Onder de werking van de NIS2 vallen zogenaamde essentiële entiteiten en belangrijke entiteiten - de begrippen veranderen dus. Dit wordt verder uitgewerkt in Bijlage I en II van de NIS2. Voor de essentiële entiteiten geldt het strengste regime.

De sectoren waarbinnen de essentiële entiteiten vallen, zijn deels herkenbaar van de eerste NIS, en komen dus deels overeen met hetgeen thans in de Wbni is geregeld. Alle entiteiten die nu onder de Wbni als vitale aanbieders gelden, gelden straks als essentiële entiteiten.

Maar er komen sectoren bij. Binnen de sector ‘gezondheidszorg’ vallen ziekenhuizen en bepaalde producenten van medicijnen en medische hulpmiddelen straks ook onder de werking van de Wbni. Hetzelfde geldt voor bepaalde onderzoeks- en ontwikkelingsinstituten.

Binnen de sector ‘afvalwater’ vallen entiteiten die afvalwater behandelen, opvangen of lozen in de toekomst onder het bereik van de Wbni. Daarnaast is er nog de sector ‘ruimtevaart’ en, niet onbelangrijk, de sector ‘overheidsdiensten’ waaronder onder meer openbare bestuurslichamen van centrale overheden vallen.

Tot zover de essentiële entiteiten. De belangrijke entiteiten in de NIS2 die nieuw zijn betreffen entiteiten in de volgende sectoren: post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; de vervaardiging van onder andere de volgende producten: medische hulpmiddelen, informatica/elektronische en optische producten, machines, apparaten en werktuigen en transportmiddelen.

De simpele tussenconclusie is dat de Wbni dus een veel breder toepassingsbereik krijgt.

Strenger

Bovendien wordt de wetgeving strenger: bedrijven en hun bestuurders kunnen er (persoonlijk) op worden afgerekend indien bedrijven niet voldoende cyberweerbaar zijn. En ook de termijn waarbinnen incidenten moeten worden gemeld wordt korter (24 uur).

Bestuursorganen/ bestuursleden van zowel essentiële als belangrijke entiteiten zijn straks verplicht om de genomen maatregelen op het gebied van risicobeheer goed te keuren. Dat moeten zij dus zelf doen. En ze zullen er ook zelf op moeten toezien dat de regels worden nageleefd, want ze zijn verantwoordelijk voor de eventuele niet-naleving van de verplichtingen.

Om dat goed te kunnen doen moeten bestuursleden straks aantoonbaar over voldoende kennis en vaardigheden beschikken. Dat maakt dat zij zelf (min of meer) kunnen inschatten welke gevolgen er mogelijk voor de entiteit zijn indien zich een cyberincident voordoet. En zij moeten dus, meer dan globaal, weten welke cyberbeveiligingsmaatregelen er in het bedrijf worden genomen. Zo kunnen zij zich er ook van vergewissen dat de benodigde maatregelen zijn vervuld.

Die maatregelen moeten zijn afgestemd op de bedrijfsspecifieke risico’s, maar er zijn wel minimumvereisten. Op het bestuur – althans het bestuur van essentiële entiteiten - rust dus de verplichting om ervoor te zorgen dat in ieder geval die vereisten worden vervuld. De NIS2 bepaalt  dat personen die vertegenwoordigingsbevoegd zijn aansprakelijk kunnen worden gesteld voor het niet-naleven van de verplichtingen. Zij kunnen zelfs worden geschorst. Die bepaling zal ook in de Wbni worden opgenomen.

Minimumvereisten

De genoemde minimumvereisten zijn:

  • Er dient een risicoanalyse te worden gemaakt en er dient beleid inzake de beveiliging te worden geïmplementeerd;
  • Er dient adequaat te worden gehandeld bij de preventie van, opsporing van en respons op incidenten;
  • Er moet zijn nagedacht over bedrijfscontinuïteit en over crisisbeheer (business continuity);
  • Er moet een inschatting zijn gemaakt betreffende de beveiliging van de toeleveringsketen, waarbij rekening moet worden gehouden met de specifieke kwetsbaarheden van elke partij;
  • Er moet sprake zijn van beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk en informatiesystemen;
  • Er moet beleid zijn en er moeten procedures zijn (testen en audits) om de effectiviteit van maatregelen voor het beheer van risico’s te beoordelen; en
  • Er moet gebruik worden gemaakt van cryptografie en encryptie.

Consequenties van non-compliance

Hierboven werd al opgemerkt dat non-compliance in de toekomst consequenties voor natuurlijke personen kan hebben. Wanneer de maatregelen voor het beheer van cyberveiligheidsrisico’s onvoldoende zijn, of wanneer de rapportageverplichting wordt geschonden, kunnen boetes worden opgelegd. De maximumboetes bedragen tenminste 10 miljoen euro of 2% van de wereldwijde jaaromzet – afhankelijk van welk bedrag hoger is. Naast boetes kunnen de lidstaten ook voorzien in de mogelijkheid om dwangsommen op te leggen – ook aan overheden trouwens.

Bij het bovenstaande moet worden opgemerkt dat op basis van de huidige Wbni ook al dwangsommen, bindende aanwijzingen en boetes kunnen worden opgelegd aan bedrijven die de wet overtreden. Het boetemaximum is vooralsnog ‘slechts’ 5 miljoen euro. Tot op heden zijn geen boetes opgelegd, maar dat zal zeker veranderen. De druk vanuit Europa op de lidstaten groeit wat dat betreft.

Conclusie

U bent nu op de hoogte van het type bedrijven waar de Wbni straks voor gaat gelden. U weet ook dat u uw leidinggevende moet waarschuwen, omdat cybersecurity straks ook zijn persoonlijke ‘probleem’ is.

Er komt nog veel meer cybersecuritywetgeving vanuit Europa op ons af, zoals de Digital Operational Resilience Act – een soort speciale versie van de NIS2. Wij komen daar op terug!

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (januari 2023). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.

Lees meer over
1
Reacties
Leendert Buijtendijk 16 april 2023 09:51

Ik ben benieuwd waar exact is benoemd dat van de gezondheidszorg niet alle maar alleen bepaalde sectoren onder de 'essentiële enititeiten' vallen. Ik merk dat tot op heden tot op bestuurlijk niveau gedacht wordt dat alle soorten instellingen (mits voldoend aan de criteria van omvang wat betreft aantal werknemers en omzet) hier onder vallen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.