Herziene Europese richtlijn Netwerk- en Informatiebeveiliging (NIS 2)

De EU heeft de richtlijn Netwerk- en informatiebeveiliging (NIS 2) herzien. Deze richtlijn stelt regels voor cybersecurity in verschillende kritieke sectoren. De herziening heeft tot doel om de cybersecurityvereisten in de EU te verhogen en essentiële diensten en digitaledienstverleners weerbaarder te maken tegen cybersecurity aanvallen. De richtlijn gaat gelden voor meer sectoren en meer organisaties en schrijft een aantal beveiligingseisen voor. Daarnaast bevat de richtlijn een incidentmeldplicht en wordt het toezicht en de handhaving uitgebreid.

 

Toepassingsgebied

De huidige richtlijn geldt voor aanbieders van essentiële diensten (AED’s) die door de lidstaten worden aangewezen en voor digitale dienstverleners (DSP’s).  De DSP’s die onder de NIS 1-richtlijn vallen zijn publieke en private organisaties in de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, zorg, drinkwater en digitale infrastructuur en drie digitale diensten namelijk online marktplaatsen, zoekmachines en cloudaanbieders.[1]

De NIS 2-richtlijn bevat twee categorieën, namelijk ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. De aparte onderscheiding van DSP’s vervalt. De richtlijn breidt de sectoren en diensten uit die van belang worden geacht voor de Europese interne markt, om zo de dekking van de richtlijn uit te breiden en het niveau van cyberbeveiliging op te schroeven.[2] De nieuwe richtlijn wijst zestien sectoren aan, namelijk telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, bepaalde industrieën, overheidsdiensten, platforms voor sociale netwerken, ruimtevaart, afvalbeheer en afvalwaterbeheer. Ook centrale overheden vallen onder de nieuwe richtlijn, dit kan door lidstaten worden uitgebreid naar overheden op regionaal en lokaal niveau.[3] De richtlijn is bijvoorbeeld van toepassing op onderzoeksorganisaties en aanbieders van beheerde ICT diensten maar ook op ondernemingen die producten zoals onder andere elektrische apparatuur, medische hulpmiddelen en machines vervaardigen. Daarnaast is de richtlijn ook van toepassing op bedrijven die levensmiddelen produceren, verwerken of distribueren.[4]

De nieuwe richtlijn gaat automatisch gelden voor organisaties die in de genoemde sectoren actief zijn.[5] Onder de huidige Nederlandse regelgeving worden bijvoorbeeld geen zorgaanbieders aangewezen, met de inwerkingtreding van de NIS 2-richtlijn zullen (grotere) zorgaanbieders automatisch onder de richtlijn vallen. De richtlijn is van toepassing op middelgrote en grote entiteiten die diensten verlenen of activiteiten verrichten in de EU. Het betreft organisaties met meer dan 250 werknemers en waarvan de jaaromzet 50 miljoen euro of het jaarlijkse balanstotaal meer dan 43 miljoen euro is.[6] Kleine organisaties zijn uitgezonderd, tenzij er sprake is van een kleine entiteit met een hoog veiligheidsrisico.[7] Te denken is bijvoorbeeld aan een kleine organisatie die de enige aanbieder van een dienst in een lidstaat is. Lidstaten behouden de bevoegdheid om extra entiteiten in de lidstaat aan te wijzen die onder de richtlijn vallen.[8]

De nieuwe richtlijn gaat ook gelden voor bedrijven die geen vestiging hebben in de Europese Unie maar wel diensten aanbieden in de EU die onder de richtlijn vallen. Dit is met name relevant voor aanbieders van cloud-computing diensten, aanbieders van datacenterdiensten en andere online dienstverleners zoals online marktplaatsen, zoekmachines en sociale netwerkdiensten.[9]

 

Minimale beveiligingsvereisten

Bij de uitvoering van de eerste NIS richtlijn zijn er aanzienlijke verschillen ontstaan in beveiligingseisen in iedere lidstaat voor entiteiten. De lidstaten hadden namelijk veel vrijheid om die beveiligingseisen in te kleden. De verschillen zitten vooral in het soort eisen, de mate van gedetailleerdheid en de wijze van toezicht. Dit levert problemen op voor entiteiten die goederen of diensten over de grens aanbieden. De NIS 2-richtlijn kent strengere beveiligingseisen ten opzichte van de eerste NIS-richtlijn. Het doel van de NIS 2-richtlijn is om een hoger niveau van cyberbeveiliging te realiseren en de cyberbeveiliging te harmoniseren in de Europese Unie.

Maatregelen

In de nieuwe richtlijn zijn maatregelen opgenomen voor het beheer van cyberbeveiligingsrisico’s. De entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheren en incidenten te voorkomen of de gevolgen van incidenten te beperken.[10] De richtlijn bevat een lijst van minimale beveiligingselementen, waaronder  risicobeleid, incidentenbehandeling, back-upbeheer en een opleiding in cyberbeveiliging.[11]

Toeleveringsketens

Een andere beveiligingseis die de nieuwe richtlijn stelt is de beveiliging van de toeleveringsketen (Supply Chain).[12] Om ervoor te zorgen dat entiteiten voldoen aan de beveiligingsmaatregelen voor de toeleveringsketen kunnen lidstaten op grond van de richtlijn entiteiten verplichten om bepaalde ICT-producten, ICT-diensten en ICT-processen te gebruiken die zijn ontwikkeld of zijn gekocht door derden die zijn gecertificeerd in het kader van Europese cyberbeveiligingscertificeringsregelingen.[13] Hiermee kunnen veiligheidsrisico’s in de toeleveringsketen worden aangepakt. Dat is belangrijk vanwege het groeiend aantal incidenten waarbij entiteiten doelwit waren van cyberaanvallen, doordat gebruik werd gemaakt van kwetsbaarheden in producten en diensten van derden.[14]

 

Incidentmeldplicht

De meldplicht is onder de NIS 2-richtlijn uitgebreid ten opzichte van de huidige richtlijn. Significante incidenten moeten gemeld worden bij het netwerk van nationale computer security incident response team (CSIRT). Een incident is significant als het een ernstige operationele verstoring van diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken, als het andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. In Nederland is dat het Nationaal Cyber Security Centrum (NCSC). Daarnaast zijn er sectorale toezichthouders waar een incident gemeld moet worden.

Meerdere fasen

De melding bestaat uit meerdere fasen. (i) Op het moment dat een entiteit kennis neemt van een incident heeft het 24 uur de tijd om een vroegtijdige waarschuwing te geven. In deze waarschuwing moet worden aangegeven of het incident vermoedelijk onrechtmatig of kwaadwillig is veroorzaakt en of het grensoverschrijdende gevolgen zou kunnen hebben. (ii) Binnen 72 uur moet een volledige incidentmelding zijn gedaan. (iii) Eén maand na de incidentmelding moet een eindverslag worden ingediend met een gedetailleerde beschrijving van het incident; het soort bedreiging of de grondoorzaak van het incident; toegepaste en lopende risicobeperkende maatregelen en – indien van toepassing – de grensoverschrijdende gevolgen van het incident.[15] Als gebruikers van een dienst mogelijk risico lopen door de significante cyberdreiging moeten zij worden geïnformeerd over welke maatregelen zij kunnen nemen in reactie op de dreiging. Indien nodig worden gebruikers ook geïnformeerd over de aard van de cyberdreiging.

Bij niet-significante (potentiële) incidenten is het ook mogelijk om vrijwillig melding te doen. Daarnaast kunnen ook entiteiten die niet onder de richtlijn vallen een melding doen van significante (potentiële) incidenten of cyberdreiging.[16]

 

Handhaving

Bestuursorganen van essentiële en belangrijke entiteiten moeten de maatregelen die door de entiteiten zijn genomen in navolging van de verplichtingen uit de richtlijn goedkeuren, toezien op de uitvoering en kunnen aansprakelijk worden gesteld voor inbreuken door de entiteit. Bestuurders moeten een opleiding volgen zodat zij voldoende kennis en vaardigheden hebben om risico’s te kunnen identificeren en de maatregelen te kunnen beoordelen. Lidstaten moeten entiteiten aanmoedigen om een dergelijke opleiding aan werknemers aan te bieden.[17]

De richtlijn regelt een ondergrens aan toezichtsbevoegdheden en handhavingsinstrumenten waarover de autoriteiten moeten beschikken. De sancties worden geharmoniseerd in de hele EU, het staat lidstaten wel vrij om aanvullende wettelijke bepalingen vast te leggen om tot een hoger cyberbeveiligingsniveau te komen.[18] Op essentiële diensten moet proactief toezicht gehouden worden. De richtlijn schrijft steekproefsgewijze controles, audits, beveiligingscans en andere vormen van inspectie voor.[19] Voor belangrijke entiteiten geldt achteraf toezicht indien er aanwijzingen zijn dat er sprake is van een incident.[20]

Niet-naleving van de regels kan leiden tot hoge boetes.[21] Indien een organisatie in gebreke blijft kan dit leiden tot het schorsen van vergunningen, tijdelijk bestuursverbod voor leden van het bestuur, maar ook tot wettelijke aansprakelijkheid van bestuurders.[22] De richtlijn verplicht niet tot het invoeren van een wettelijke aansprakelijkheidsregeling op grond waarvan natuurlijke personen straf- of civielrechtelijk aansprakelijk gesteld kunnen worden voor schade van derden als gevolg van een beveiligingsincident.[23] Het is nog niet duidelijk of dit in Nederland zal leiden tot bestuurdersaansprakelijkheid.

 

Conclusie

De nieuwe richtlijn bevat een nieuwe indeling van essentiële entiteiten en digitale dienstverleners. In de nieuwe richtlijn worden de sectoren uitgebreid, maar ook breder van toepassing. Er gaat een minimum van beveiligingsvereisten gelden voor entiteiten, ook voor de toeleveringsketen. Entiteiten moeten significante (potentiële) incidenten melden en daarbij betrokken derden ook op de hoogte stellen van cyberdreiging. Daarnaast wordt het handhaving- en toezichtinstrumentarium uitgebreid, niet-naleving kan leiden tot hoge boetes en/of mogelijk zelfs straf- of civielrechtelijke aansprakelijkheid voor bestuurders. Eind 2022 is de definitieve herziene NIS 2-richtlijn gepubliceerd in het EU-publicatieblad. De regels uit deze Europese richtlijn moeten uiterlijk begin 2025 omgezet zijn naar nationale wetgeving, in Nederland worden de regels opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

 

[1] Kamerstukken II 2020/21, 22 112, nr. 3053 (BNC fiche).

[2] Kamerstukken II 2020/21, 22 112, nr. 3053 (BNC fiche).

[3] Zie: https://www.ngb.nl/nieuws/nis2-richtlijn-cybersecurity-voer-voor-de-bedrijfsjurist

[4] Bijlage 1 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[5] Bijlage 1 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[6] Art. 2 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn); art. 2 Aanbeveling 2003/361/EG.

[7] Art. 2 lid 2 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[8] Kamerstukken II 2020/21, 22 112, nr. 3053 (BNC fiche).

[9] Art. 26 lid 3 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[10] Art. 21 lid 1 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[11] Art. 21 lid 2 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[12] Art. 21 lid 2, sub d Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[13] Deze regelingen zijn vastgesteld op grond van art. 49 van Verordening (EU) 2019/881 (de cyberbeveiligingsverordening).

[14] Overweging 85 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[15] Art. 23 lid 4 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[16] Art. Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[17] Art. 20 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[18] Art. 5 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[19] Art. 32 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[20] Kamerstukken II 2020/21, 22 112, nr. 3053 (BNC fiche).

[21] Tot 10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten en 7 miljoen of 1,4% van de wereldwijde omzet voor belangrijke entiteiten, art. 34 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[22] Considerans 133 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

[23] Art. 20, art. 32 lid 6 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn); Considerans 128 Richtlijn (EU) 2022/2555 (NIS 2-richtlijn).

Top