NIS2 - strenger, breder en veeleisender voor bestuurder

We moeten in de NIS2 kijken om te zien welke entiteiten in de toekomst onder de werking van de Wbni zullen vallen.

Onder de werking van de NIS2 vallen zogenaamde essentiële entiteiten en belangrijke entiteiten - de begrippen veranderen dus. Dit wordt verder uitgewerkt in Bijlage I en II van de NIS2. Voor de essentiële entiteiten geldt het strengste regime.

De sectoren waarbinnen de essentiële entiteiten vallen, zijn deels herkenbaar van de eerste NIS, en komen dus deels overeen met hetgeen thans in de Wbni is geregeld. Alle entiteiten die nu onder de Wbni als vitale aanbieders gelden, gelden straks als essentiële entiteiten.

Maar er komen sectoren bij. Binnen de sector ‘gezondheidszorg’ vallen ziekenhuizen en bepaalde producenten van medicijnen en medische hulpmiddelen straks ook onder de werking van de Wbni. Hetzelfde geldt voor bepaalde onderzoeks- en ontwikkelingsinstituten.

Binnen de sector ‘afvalwater’ vallen entiteiten die afvalwater behandelen, opvangen of lozen in de toekomst onder het bereik van de Wbni. Daarnaast is er nog de sector ‘ruimtevaart’ en, niet onbelangrijk, de sector ‘overheidsdiensten’ waaronder onder meer openbare bestuurslichamen van centrale overheden vallen.

Tot zover de essentiële entiteiten. De belangrijke entiteiten in de NIS2 die nieuw zijn betreffen entiteiten in de volgende sectoren: post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; de vervaardiging van onder andere de volgende producten: medische hulpmiddelen, informatica/elektronische en optische producten, machines, apparaten en werktuigen en transportmiddelen.

De simpele tussenconclusie is dat de Wbni dus een veel breder toepassingsbereik krijgt.

Strenger

Bovendien wordt de wetgeving strenger: bedrijven en hun bestuurders kunnen er (persoonlijk) op worden afgerekend indien bedrijven niet voldoende cyberweerbaar zijn. En ook de termijn waarbinnen incidenten moeten worden gemeld wordt korter (24 uur).

Bestuursorganen/ bestuursleden van zowel essentiële als belangrijke entiteiten zijn straks verplicht om de genomen maatregelen op het gebied van risicobeheer goed te keuren. Dat moeten zij dus zelf doen. En ze zullen er ook zelf op moeten toezien dat de regels worden nageleefd, want ze zijn verantwoordelijk voor de eventuele niet-naleving van de verplichtingen.

Om dat goed te kunnen doen moeten bestuursleden straks aantoonbaar over voldoende kennis en vaardigheden beschikken. Dat maakt dat zij zelf (min of meer) kunnen inschatten welke gevolgen er mogelijk voor de entiteit zijn indien zich een cyberincident voordoet. En zij moeten dus, meer dan globaal, weten welke cyberbeveiligingsmaatregelen er in het bedrijf worden genomen. Zo kunnen zij zich er ook van vergewissen dat de benodigde maatregelen zijn vervuld.

Die maatregelen moeten zijn afgestemd op de bedrijfsspecifieke risico’s, maar er zijn wel minimumvereisten. Op het bestuur – althans het bestuur van essentiële entiteiten - rust dus de verplichting om ervoor te zorgen dat in ieder geval die vereisten worden vervuld. De NIS2 bepaalt  dat personen die vertegenwoordigingsbevoegd zijn aansprakelijk kunnen worden gesteld voor het niet-naleven van de verplichtingen. Zij kunnen zelfs worden geschorst. Die bepaling zal ook in de Wbni worden opgenomen.

Minimumvereisten

De genoemde minimumvereisten zijn:

• Er dient een risicoanalyse te worden gemaakt en er dient beleid inzake de beveiliging te worden geïmplementeerd;
• Er dient adequaat te worden gehandeld bij de preventie van, opsporing van en respons op incidenten;
• Er moet zijn nagedacht over bedrijfscontinuïteit en over crisisbeheer (business continuity);
• Er moet een inschatting zijn gemaakt betreffende de beveiliging van de toeleveringsketen, waarbij rekening moet worden gehouden met de specifieke kwetsbaarheden van elke partij;
• Er moet sprake zijn van beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk en informatiesystemen;
• Er moet beleid zijn en er moeten procedures zijn (testen en audits) om de effectiviteit van maatregelen voor het beheer van risico’s te beoordelen; en
• Er moet gebruik worden gemaakt van cryptografie en encryptie.

Consequenties van non-compliance

Hierboven werd al opgemerkt dat non-compliance in de toekomst consequenties voor natuurlijke personen kan hebben. Wanneer de maatregelen voor het beheer van cyberveiligheidsrisico’s onvoldoende zijn, of wanneer de rapportageverplichting wordt geschonden, kunnen boetes worden opgelegd. De maximumboetes bedragen tenminste 10 miljoen euro of 2% van de wereldwijde jaaromzet – afhankelijk van welk bedrag hoger is. Naast boetes kunnen de lidstaten ook voorzien in de mogelijkheid om dwangsommen op te leggen – ook aan overheden trouwens.

Bij het bovenstaande moet worden opgemerkt dat op basis van de huidige Wbni ook al dwangsommen, bindende aanwijzingen en boetes kunnen worden opgelegd aan bedrijven die de wet overtreden. Het boetemaximum is vooralsnog ‘slechts’ 5 miljoen euro. Tot op heden zijn geen boetes opgelegd, maar dat zal zeker veranderen. De druk vanuit Europa op de lidstaten groeit wat dat betreft.

Conclusie

U bent nu op de hoogte van het type bedrijven waar de Wbni straks voor gaat gelden. U weet ook dat u uw leidinggevende moet waarschuwen, omdat cybersecurity straks ook zijn persoonlijke ‘probleem’ is.

Er komt nog veel meer cybersecuritywetgeving vanuit Europa op ons af, zoals de Digital Operational Resilience Act – een soort speciale versie van de NIS2. Wij komen daar op terug!