Samenvatting van de NIS2-richtlijn

De Network and Information Security Directive (NIS2-richtlijn) zijn eind 2022 vastgesteld door de Europese Unie. De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten.

De NIS2-richtlijn richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. De NIS2 is de opvolger van de eerste NIS-richtlijn, in Nederland ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Van Europese richtlijnen naar nationale wetgeving.

Sinds januari 2023 werkt de Rijksoverheid aan de nationale implementatie door de richtlijn om te zetten naar Nederlandse wetgeving. Dit wetgevingstraject kent de volgende fasen:

Tijdlijn NIS2
1. 2022
  - Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad.
  - Op 27 december is de NIS2-richtlijn gepubliceerd in de Official Journal van de Europese Unie.
2. 2023
  - In januari 2023 is de implementatietermijn van 21 maanden gestart, waarin de richtlijn moet worden opgenomen in nationale wetgeving.
3. 2024
  - Begin 2024 start een internetconsultatie-periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten van de consultatie worden vervolgens gepubliceerd en waar mogelijk verwerkt in de wetsvoorstellen. Het wetsvoorstel wordt gepubliceerd op internetconsultatie.nl. De exacte datum waarop de consultatie start is nog niet bekend.
  - Naar verwachting zal de wet eind 2024 in werking treden, nadat deze door het parlement zijn behandeld. Organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties die onder de richtlijn vallen wordt dus groter.

De organisaties die onder de tweede NIS-richtlijn vallen behoren tot:

Sectoren
Sectoren bijlage 1	Sectoren bijlage 2
Energie	Digitale aanbieders
Transport	Post- en koeriersdiensten
Infrastructuur financiële markt	Afvalstoffenbeheer
Gezondheidszorg	Levensmiddelen
Drinkwater	Chemische stoffen
Digitale infrastructuur	Onderzoek
Afvalwater	Vervaardiging/manufacturing
Overheidsdiensten
Ruimtevaart
Beheerders van ICT Diensten
Bankwezen

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de eerder genoemde sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Essentiële entiteiten
- Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn.
- Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)
- Een organisatie is groot op basis van de volgende criteria:
  1. minimaal 250 werknemers of;
  2. een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
Belangrijke entiteiten
- Middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II.
- Een organisatie is middelgroot op basis van de volgende criteria:
  1. minimaal 50 werknemers of;
  2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving, dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, dat alleen achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.

Een uitzondering zijn micro- en kleinbedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten. Deze bedrijven vallen wel direct onder de NIS2-richtlijn.

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een vragenlijst ontwikkeld waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen. Door de vragenlijst in te vullen, wordt ook duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. Klik hier voor meer informatie.

Zorgplicht - De NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesystemen te beschermen.
Meldplicht De NIS2 schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Registratieplicht – Entiteiten die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.
Toezicht - Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Lidstaten zijn verplicht om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale dreigingen. De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Relevante links

Link naar NIS2-richtlijn: EUR-Lex - 32022L2555 - EN - EUR-Lex (europa.eu)

Link naar NIS2-richtlijn (NL vertaling): L_2022333NL.01008001.xml (europa.eu)

Samenvatting van de NIS2-richtlijn

Van Europese richtlijnen naar nationale wetgeving.

Tijdlijn NIS2

Welke sectoren en organisaties vallen onder de NIS2-richtlijn?

Welke verplichtingen schrijft de NIS2-richtlijn voor?

Wat kunnen organisaties van de overheid verwachten?

Relevante links

Deel deze pagina