De Network and Information Security Directive (NIS2-richtlijn) is eind 2022 vastgesteld door de Europese Unie. De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten en wordt op dit moment omgezet naar de Nederlandse Cyberbeveiligingswet. In deze informatiebrochure vind je de meest relevante informatie bij elkaar. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen.
Het omzetten van de richtlijn tot nationale wetgeving is een omvangrijk en complex traject dat zorgvuldigheid vergt, ook omdat de impact voor Nederlandse organisaties die onder de Cyberbeveiligingswet vallen, groot is. Zo moeten er ten opzichte van bestaande wetgeving meer sectoren en meer organisaties voldoen aan de nieuwe wetgeving, zijn er een zorg-, registratie- en meldplicht van toepassing op deze organisaties, en worden mechanieken om toezicht te houden ingericht.
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties die onder de richtlijn vallen wordt dus groter. Lees hier welke sectoren dit zijn.
Zelfevaluatie NIS2
De Rijksinspectie Digitale Infrastructuur (RDI) heeft een vragenlijst ontwikkeld waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen. Door de vragenlijst in te vullen, wordt ook duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. Klik hier voor de zelfevaluatie.
Zorgplicht - Het wetsvoorstel bevat een zorgplicht die organisaties verplicht zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.
Meldplicht - Het wetsvoorstel schrijft voor dat entiteiten significante incidenten binnen 24 uur moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de organisatie aanzienlijk (kunnen) verstoren. Computer Security Incident Response Teams (CSIRT) kunnen vervolgens hulp en bijstand verlenen. De drempelwaarden voor significante incidenten worden nog nader uitgewerkt. Voorbeelden van factoren die incidenten tot een significant incident kunnen maken zijn de omvang van de financiële verliezen voor betrokkenen, veroorzaken van (operationele) schade aan andere entiteiten dan de getroffen entiteit. Voor het doen van meldingen wordt een centraal meldpunt ingericht door het NCSC. Het Meldportaal dat voor het doel van significante meldingen wordt ingericht is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of van bijna-incidenten.
Registratieplicht – Organisaties die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin organisaties zichzelf registreren en aanmelden als NIS2 entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op.
Toezicht - Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.
Lidstaten zijn verplicht om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale dreigingen. De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
