Ja, omdat de NIS2-Richtlijn actieruimte geeft voor iedere overheid (we spreken hierna van “de gemeente”). Dit komt vanwege artikel 2 lid 5 NIS2-Richtlijn en de keuze van de Nederlandse overheid om decentrale overheden aan te merken als overheidsinstantie, en als essentiële entiteit onder de Richtlijn. Het gebrek aan implementatie heeft gevolgen voor de rechtspositie van particulieren (natuurlijke en rechtspersonen) waar de gemeente rekening mee moet houden.

Richtlijn 2022/2555 (hierna: “NIS2”) is een gelaagde Richtlijn die voor de toepassing op decentrale overheidsinstanties twee belangrijke voorvragen geeft. Het startpunt voor het antwoord ligt dan ook bij de voorvraag of de gemeente een overheidsinstantie is volgens artikel 2 van de NIS2. Vervolgens moet de decentrale overheid aangemerkt worden als belangrijke of essentiële entiteit volgens artikel 3 NIS2. Daarna komt in deze praktijkvraag de Europeesrechtelijke consequenties aan bod van de hoogstwaarschijnlijk te laat geïmplementeerde NIS2 Richtlijn.

Voorvraag 1: gemeente waarschijnlijk overheidsinstantie onder NIS2

NIS2 maakt onderscheid tussen centrale, regionale, en lokale overheidsinstanties: Artikel 2 lid 2 onder f spreekt van entiteiten als overheidsinstanties, als het om overheidsinstanties van de centrale overheid gaat of als om overheidsinstanties op regionaal niveau. Beide overheidsinstanties vallen onder een sector die Bijlage I als zeer kritiek aanmerkt. Artikel 2 lid 5 aanhef en onder a spreekt over overheidsinstanties op lokaal niveau en koppelt daaraan de bevoegdheid voor lidstaten om het toepassingsbereik van de Richtlijn naar hen toe uit te breiden.

De decentrale overheden vallen (waarschijnlijk) buiten de eerste categorie overheidsinstanties, maar binnen de categorie lokale overheidsinstanties. Formalistisch gezien vallen zij buiten de tabel uit Bijlage I, onder 10, van de NIS2 en betreffen daarmee geen kritieke sector.

Recentelijk heeft de Nederlandse overheid het wetsvoorstel voor de Cyberbeveiligingswet ter internetconsultatie gelegd, waarin zij aangeeft voornemens te zijn om decentrale overheden als overheidsinstantie in de zin van NIS2 aan te merken.

Voorvraag 2: belangrijke of essentiële entiteit?

De NIS2 geeft vervolgens weinig duiding of en zo ja hoe lokale overheidsinstanties als essentieel of belangrijk aangemerkt kunnen, respectievelijk moeten worden. Het onderscheid maakt uit voor het toepasselijke toezicht op de entiteit: belangrijke entiteiten staan onder toezicht achteraf, essentiële entiteiten onder toezicht voor- én achteraf. Systematisch ziet de aanmerking belangrijk/essentieel in artikel 3 lid 1 en 2 NIS2-Richtlijn er gesloten uit. Met andere woorden, als geen van de voorwaarden van lid 1 of 2 opgaan, lijkt op het eerste oog een entiteit noch belangrijk, noch essentieel.

Met het antwoord op voorvraag 1 in het achterhoofd, vallen decentrale overheden duidelijk buiten artikel 3 lid 1 onder a), b), c), en d) van de NIS2. De overige factoren die een instantie essentieel maken, hebben de volgende haken en ogen voor decentrale overheden:

• Onder e): lokale overheidsinstanties vallen in formalistisch perspectief buiten de “in bijlage I of II bedoeld[e] type” overheid.
• Onder f): alleen centrale overheidsinstanties vallen volgens de tabel uit de bijlage (onder 9) onder de CER (Richtlijn 2022/2557).
• Onder g): als de gemeente als aanbieder van essentiële dienst onder de NIS1 (of Wbni) is aangemerkt, zou zij onder de NIS2 kunnen vallen. Hier moet ‘de lidstaat’ apart toe besluiten.

Voor wat betreft artikel 3 lid 2 NIS2 geldt hetzelfde als hierboven onder e) aangemerkt: lokale overheidsinstanties vallen buiten de “in bijlage I of II bedoeld[e] type” overheid. Dit zou hen volgens de logica van de Richtlijn geen belangrijke entiteit maken. Kortom, dit betekent dat een gemeente een besluit moet nemen om als belangrijke of essentiële entiteit onder de NIS2 te vallen. Ongeacht het bovenstaande, heeft de centrale overheid in het internetconsultatiewetsvoorstel voor de Cyberbeveiligingswet (Cbw) decentrale overheden als essentieel aangemerkt.

Mogelijk implementatiegebrek

Om te voldoen aan artikel 46 en 41 van de NIS2 moeten wetgevende instanties van elke lidstaat deze bepalingen uiterlijk 17 oktober 2024 omzetten in nationaal recht. Binnen het Nederlandse staatsbestel is de wetgever in formele zin (de Kroon en Staten-Generaal) hiervoor logischerwijs als eerste aan zet, via artikel 82 e.v. (m.n. 92) Grondwet in lijn met het loyaliteitsbeginsel uit artikel 3 lid 4 van het Verdrag betreffende de Europese Unie en 291 van het Verdrag betreffende de Werking van de Europese Unie (hierna “VWEU”).

Het aantonen van omzetting vindt bijvoorbeeld plaats door een nieuwe wet aan te nemen en deze bij de Commissie aan te geven als omzettingsmaatregel voor de Richtlijn. Als alternatief kan de wetgever voorafgaand aan het verstrijken van de omzettingstermijn aantonen dat eerder ingevoerde en huidig geldende wetgeving de standaard uit de Richtlijn haalt.

Alhoewel het wetgevingstraject voor de omzetting van de NIS2 in de Cbw is gestart, zit het nog in consultatiefase. Tot en met 1 juli 2024 kunnen alle decentrale overheden hun visies en bevindingen op dit consultatievoorstel leveren, voordat de regering het gaat indienen in de Tweede Kamer.

De huidige Wet beveiliging Netwerk en informatiesystemen (Wbni) die diende als omzetting voor Richtlijn 2016/1148 (“NIS1”, de voorloper van NIS2), lijkt bovendien geen volwaardige implementatie te zijn van de NIS2. Overheidsinstanties kunnen op zich onder de Wbni vallen, voor zover zij aan te merken zijn als vitale aanbieders, of aanbieders van essentiële diensten. Echter, de NIS2 geeft kortgezegd meer en andere normen dan de NIS1, zoals op te maken valt uit de concordantietabel in Bijlage III bij de NIS2. Gezien de aanwijzingen dat het Rijk de implementatietermijn niet gaat halen, zit Nederland op centraal wetgevingsniveau dus na 17 oktober 2024 met een implementatiegebrek.

Implementatiegebrek helen = doorwerking EU-recht vinden.

Omdat de NIS2 het begrip “lidstaten” hanteert zonder dit nader te definiëren ligt er actieruimte voor decentrale overheden. Zij zijn immers medeoverheid en daarmee lidstaat van de Europese Unie. Voor de invulling van ruimte bij richtlijnen in algemene zin gaf het Hof van Justitie namelijk richting in de zaak Sabine von Colson en Elisabeth Kamann:

Als we deze leer toepassen op de NIS2, volgt hieruit dat gemeentes binnen hun wettelijke bevoegdheid in beginsel actie moeten ondernemen om het resultaat van de NIS2 te garanderen. Hierna behandelen wij de vraag in hoeverre de NIS2 dit toelaat.

Resultaat NIS2: keuze tot verplichte naleving

Met Von Colson & Kamann in het achterhoofd, heeft artikel 2 lid 5 van de NIS2 na 17 oktober 2024 de legitieme betekenis dat de bevoegdheid om een gemeente aan te wijzen als lokale overheidsinstantie onder de Richtlijn over gaat op die gemeente, voor zover overig bestuursrecht die gemeente daartoe ook ruimte geeft. Omdat de wet voornamelijk specifieke verplichtingen toewijst aan belangrijke en/of essentiële entiteiten, zou die overheid in dat kader ook de overweging moeten maken. Al lijkt het systeem van de NIS2 in dat opzicht gesloten, betekent het alsnog dat artikel 2 lid 5 van de NIS2 gemeentes dit zelf laat bepalen.

Deze interpretatie kan tot gevolg in Nederland hebben dat decentrale overheden bij het implementatiegebrek autonoom bepalen of ze zich binden aan de Richtlijn via eigen bestuursrechtelijke handelingen. Dit kan een lappendeken in Nederland tot stand brengen van al dan niet NIS2 toepasselijkheidsverklaringen. Des te belangrijker een gemeente namelijk cyberveiligheid aanmerkt, des te eerder deze de plicht van de Richtlijn naar zich toe zal trekken. Om dit te ondervangen heeft het Rijk het voortouw genomen en de decentrale overheden tot essentiële overheidsinstantie onder NIS2 verklaard. 

Rechtstreekse werking bij Richtlijnen na implementatiegebreken

Als een gemeente binnen de wettelijke bevoegdheid zich de opgave uit de Richtlijn als plicht toe-eigent, heeft dat gevolgen voor particulieren via het mechanisme van rechtstreekse werking, namelijk de inroepbaarheid van artikel 21 en 23 van de NIS2. Rechtstreekse werking betekent inroepbaarheid van Europeesrechtelijke normen door particulieren. Hierbij staat de bescherming van de rechtspositie van particulieren centraal. Het Hof van Justitie van de Europese Unie legde de basis voor deze doctrine in de jaren ’60 op grond van het loyaliteitsbeginsel (artikel 3 lid 4 van het VWEU) in de uitspraak Van Gend en Loos.

De voorwaarden voor rechtstreekse werking van Europese normen zijn voldoende duidelijkheid en onvoorwaardelijkheid. Hiervoor moeten we bekijken of de Europeesrechtelijke norm:

• geen moeilijke interpretatiekwesties oplevert (voldoende duidelijkheid), en
• geen ruimte laat die eerst met nader regelgevende of uitvoerende acties moet worden ingevuld (onvoorwaardelijkheid). Zou dat laatste namelijk volledig het geval zijn, dan zal elke particulier geduld moeten hebben totdat die specifieke acties eerst hebben plaatsgehad.

Normen die rechten inhouden voor individuen, die lidstaten geïmplementeerd zouden moeten hebben in het nationale recht, zijn meteen voldoende duidelijk en onvoorwaardelijk, dus inroepbaar jegens de overheid. Als een particulier dus tegenover de lidstaat rechten kan ontlenen aan een Richtlijnbepaling, voor zover de nationale wet deze niet garandeert, mag de particulier die in relatie tot de overheid inroepen. Door beroep op Richtlijnrechten te doen houdt de particulier de lidstaat gefocust om haar Europese doelstellingen te bereiken.

Do & Don’ts bij doorwerking Richtlijnen.

Artikel 288 VWEU geeft kenmerken van Richtlijnen. Elke Richtlijn bevat een resultaatsverbintenis die geldt voor lidstaten, met ruimte over de manier waarop zij dat resultaat moeten bereiken. Hieruit volgt dat een Richtlijn bij implementatiegebreken alleen plichten voor lidstaten genereert, nóóit voor particulieren. Hierbij één do en twee don’ts in die gevallen:  

• Do: particulieren mogen voldoende duidelijke en onvoorwaardelijke richtlijnbepalingen inroepen tegenover de lidstaat.
• Don’t 1: een particulier mag zich tegenover andere particulieren op géén enkele Richtlijnbepaling beroepen. Dit heet het verbod op horizontale rechtstreekse werking bij richtlijnbepalingen.
• Don’t 2: een overheid mag een particulier nergens toe verplichten op grond van een Richtlijn. Richtlijnen zijn immers niet van toepassing op particulieren. Dit noemt men het verbod op omgekeerd verticale rechtstreekse werking. Zie voor een belangrijk toevoeging hierop de uitspraak van het Hof van Justitie Sozialhilfeverband Rohrbach v Arbeiterkammer Oberösterreich, waarbij het Hof in rechtsoverweging 34 specificeerde dat het voor de toepassing van het verbod op omgekeerd verticale rechtstreekse werking “niet van belang [is] of de betrokken instantie al dan niet zelf verantwoordelijk is voor de niet-omzetting van de betrokken richtlijn”.

Kanttekeningen

Deze uitleg geldt alléén voor wat betreft implementatiegebreken van Richtlijnen. Verordeningen zijn andere Europese wetten, waar geen plicht tot omzetten geldt. Verordeningen zijn zogezegd rechtstreeks toepasselijk en kunnen verplichtingen inhouden voor particulieren, zodra ze in werking treden.

Ook al kan en mag de gemeente de toepasselijkheid van de NIS2 op haar organisatie naar zich toe trekken en zich tot een belangrijke of essentiële entiteit verklaren onder de NIS2, het is enigszins een discussiepunt of vanwege de voorwaardelijkheid van artikel 2 lid 5 NIS2 rechtstreekse werking voor particulieren toekomt aan inhoudelijke NIS2 bepalingen.

Als de gemeente artikel 2 lid 5 van de NIS2 namelijk invult, zouden inhoudelijke NIS2 bepalingen rechten kunnen geven aan particulieren jegens de gemeente als (onderdeel van de) lidstaat, dus rechtstreekse werking kunnen krijgen.

Als de conclusie echter is dat particulieren ongeacht de handelswijze van gemeenten aanlopen tegen de voorwaardelijkheid in artikel 2 lid 5 NIS2 zouden zij met name aangaande artikel 21 NIS2 met lege handen dreigen te staan. Vertrouwend op dat eerste, gaan we na in welke mate op particulieren artikel 21 en 23 NIS2 toepasbaar kunnen zijn.

Analyse rechtstreekse werking artikel 21 NIS2

Lid 1 verplicht tot het treffen van passende en evenredige risicobeheersmaatregelen en geeft hier aanwijzingen voor. Lid 2 vult in wat dat voor maatregelen zullen betreffen. Al deze maatregelen lenen zich voor interpretatie en toepassing door een gemeente. Voor subs a, f, en h zou rechtstreekse werking voor particulieren mogelijk ontbreken, omdat toepasselijkheid afhangt van de invulling die de decentrale of eventueel centrale overheid aan het begrip “beleid” geeft. Een particulier kan moeilijk een recht op beleid hebben. De overige bepalingen zou een particulier jegens de overheid kunnen inroepen, bijvoorbeeld wanneer beveiligingsincidenten zich voordoen en de particulier daar schade van ondervindt.

Lid 3 geeft een nadere inkleding van de evenredigheidsafweging die moet plaatsvinden. Lid 4 is een toezichtsverplichting voor lidstaten. Een particulier zou hier een recht op passende en evenredige corrigerende maatregelen toe kunnen komen, wanneer een gemeente deze nalaat te nemen bij gebrek onder lid 2. Lid 5 heeft geen rechtstreekse werking, omdat geen rechten aan individuen toekomen op een uitvoeringshandeling; dit is voorbehouden aan de Europese Commissie, naleving ervan vindt plaats via de andere EU-instellingen.

Analyse rechtstreekse werking artikel 23 NIS2

• Tekst van artikel 23 NIS2-Richtlijn – Rapportageverplichtingen
  1.  Elke lidstaat zorgt ervoor dat essentiële en belangrijke entiteiten elk incident dat aanzienlijke gevolgen heeft voor de verlening van hun diensten als bedoeld in lid 3 (significant incident) meldt bij zijn CSIRT of, indien van toepassing, zijn bevoegde autoriteit overeenkomstig lid 4. In voorkomend geval stellen de betrokken entiteiten de ontvangers van hun diensten onverwijld in kennis van significante incidenten die een nadelige invloed kunnen hebben op de verlening van die diensten. Elke lidstaat zorgt ervoor dat die entiteiten onder meer alle informatie rapporteren die het CSIRT of, indien van toepassing, de bevoegde autoriteit in staat stelt om eventuele grensoverschrijdende gevolgen van het incident te bepalen. Melding leidt niet tot blootstelling van de entiteit aan een verhoogde aansprakelijkheid.
     Wanneer de betrokken entiteiten een significant incident overeenkomstig de eerste alinea melden bij de bevoegde autoriteit, zorgt de lidstaat ervoor dat die bevoegde autoriteit de melding na ontvangst doorstuurt naar het CSIRT.
     In het geval van een grensoverschrijdend of sectoroverschrijdend significant incident zorgen de lidstaten ervoor dat relevante informatie die overeenkomstig lid 4 is gemeld, tijdig aan hun centrale contactpunten wordt verstrekt.
  2. Indien van toepassing zorgen de lidstaten ervoor dat essentiële en belangrijke entiteiten de ontvangers van hun diensten die mogelijkerwijs door een significante cyberdreiging worden getroffen, onverwijld meedelen welke maatregelen die ontvangers kunnen nemen in reactie op die dreiging. Indien nodig stellen de entiteiten die ontvangers ook in kennis van de significante cyberdreiging zelf.
  3. Een incident wordt als significant beschouwd als het:
     a) een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken;
     b) andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
  4. De lidstaten zorgen ervoor dat de betrokken entiteiten, voor de in lid 1 bedoelde melding, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit:
     a) onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing geven, waarin, indien van toepassing, wordt aangegeven of het significante incident vermoedelijk door een onrechtmatige of kwaadwillige handeling is veroorzaakt, dan wel grensoverschrijdende gevolgen zou kunnen hebben;
     b) onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding indienen met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting;
     c) op verzoek van het CSIRT of, indien van toepassing, de bevoegde autoriteit, een tussentijds verslag indienen over relevante updates van de situatie;
     d) uiterlijk één maand na de indiening van het in punt b) bedoelde incidentmelding, een eindverslag indienen waarin het volgende is opgenomen:
     i) een gedetailleerde beschrijving van het incident, met inbegrip van de ernst en de gevolgen ervan;
     ii) het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
     iii) toegepaste en lopende risicobeperkende maatregelen;
     iv) in voorkomend geval, de grensoverschrijdende gevolgen van het incident;
     e) indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, zorgen de lidstaten ervoor dat de betrokken entiteiten op dat moment een voortgangsverslag indienen en binnen één maand nadat zij het incident hebben afgehandeld, een eindverslag indienen.
     In afwijking van de eerste alinea, punt b), meldt een verlener van vertrouwensdiensten significante incidenten die gevolgen hebben voor de verlening van zijn vertrouwensdiensten onverwijld, en in elk geval binnen 24 uur nadat hij kennis heeft gekregen van het significante incident, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit.
  5. Het CSIRT of de bevoegde autoriteit verstrekt onverwijld en zo mogelijk binnen 24 uur na ontvangst van de in lid 4, punt a) bedoelde vroegtijdige waarschuwing een antwoord aan de meldende entiteit, met inbegrip van een eerste feedback over het significante incident en, op verzoek van de entiteit, richtsnoeren of operationeel advies voor de uitvoering van mogelijke risicobeperkende maatregelen. Wanneer het CSIRT de in de lid 1 bedoelde melding niet als eerste heeft ontvangen, worden de richtsnoeren door de bevoegde autoriteit in samenwerking met het CSIRT verstrekt. Het CSIRT verleent aanvullende technische ondersteuning indien de betrokken entiteit daarom verzoekt. Wanneer wordt vermoed dat het significante incident van criminele aard is, geeft het CSIRT of de bevoegde autoriteit ook richtsnoeren voor het melden van het significante incident aan de rechtshandhavingsinstanties.
  6. In voorkomend geval, en met name wanneer het significante incident betrekking heeft op twee of meer lidstaten, stelt het CSIRT, de bevoegde autoriteit of het centrale contactpunt de andere getroffen lidstaten en ENISA onverwijld in kennis van het significante incident. Die informatie omvat het soort informatie dat overeenkomstig lid 4 is ontvangen. Daarbij beschermen het CSIRT, de bevoegde autoriteit of het centrale contactpunt, overeenkomstig het Unie of het nationale recht, de beveiligings- en commerciële belangen van de entiteit, alsmede de vertrouwelijkheid van de verstrekte informatie.
  7. Wanneer publieke bewustmaking nodig is om een significant incident te voorkomen of een lopend incident aan te pakken, of wanneer de bekendmaking van het significante incident anderszins in het algemeen belang is, kunnen het CSIRT van een lidstaat of, indien van toepassing, zijn bevoegde autoriteit, en in voorkomend geval de CSIRT’s of de bevoegde autoriteiten van andere betrokken lidstaten, na raadpleging van de betrokken entiteit, het publiek over het significante incident informeren of van de entiteit verlangen dat zij dit doet.
  8. Op verzoek van het CSIRT of de bevoegde autoriteit stuurt het centrale contactpunt de op grond van lid 1 ontvangen meldingen door naar de centrale contactpunten van de andere betrokken lidstaten.
  9. Het centrale contactpunt dient om de drie maanden bij ENISA een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen en bijna-incidenten die overeenkomstig lid 1 van dit artikel en overeenkomstig artikel 30 zijn gemeld. Om bij te dragen tot het verstrekken van vergelijkbare informatie kan ENISA technische richtsnoeren vaststellen over de parameters van de informatie die in het samenvattend verslag moet worden opgenomen. ENISA stelt de samenwerkingsgroep en het CSIRT-netwerk om de zes maanden in kennis van zijn bevindingen over de ontvangen meldingen.
  10. De CSIRT’s of, indien van toepassing, de bevoegde autoriteiten verstrekken de uit hoofde van Richtlijn (EU) 2022/2557 bevoegde autoriteiten informatie over significante incidenten, en cyberdreigingen en bijna-incidenten die overeenkomstig lid 1 van dit artikel en overeenkomstig artikel 30 zijn gemeld door entiteiten die uit hoofde van Richtlijn (EU) 2022/2557 zijn aangemerkt als kritieke entiteiten.
  11. De Commissie kan uitvoeringshandelingen vaststellen waarin het soort informatie, het format en de procedure van een op grond van lid 1 van dit artikel en op grond van artikel 30 ingediende melding en van een op grond van lid 2 van dit artikel gedane mededeling nader worden gespecificeerd.
      Uiterlijk op 17 oktober 2024 stelt de Commissie met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsook aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, uitvoeringshandelingen vast waarin nader wordt gespecificeerd in welke gevallen een incident als significant wordt beschouwd als bedoeld in lid 3. De Commissie kan dergelijke uitvoeringshandelingen vaststellen met betrekking tot andere essentiële en belangrijke entiteiten.
      De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep rond de in de eerste en tweede alinea van dit artikel bedoelde ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, punt e).
      Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 39, lid 2, bedoelde onderzoeksprocedure.

Lid 1 is helder over voor welke incidenten een entiteit actie moet ondernemen. In leden 4 tot en met 8 staat uitgelegd welke procedure de entiteiten en het CSIRT moeten volgen op een incident, een eerste melding en reacties erop. Omdat in lid 1 specifiek staat dat de melding niet leidt tot blootstelling van de entiteit aan verhoogde aansprakelijkheid, is de vraag in hoeverre deze bepaling op een individu betrekking zou kunnen hebben. Alsnog staat het individuen vrij om hun lidstaat hier zoveel mogelijk toe te bewegen. Lid 2 gaat over de verplicht te vermelden maatregelen aan de ontvangers van diensten die door een cyberaanval of -dreiging worden getroffen. Hieraan kunnen particulieren een recht ontlenen. Lid 3 legt uit wat significantie van de incidenten in de zin van lid 1 en 2, wat de plicht verheldert.

Leden 9 en 10 bevatten heldere verplichtingen voor het centrale contactpunt, respectievelijk CSIRTs, maar ook hierbij is de vraag wat de betrekking gaat zijn voor een individu, wanneer niet gerapporteerd is. Het individuele belang is hier minder mee gediend. Lid 11 heeft geen rechtstreekse werking, omdat geen rechten aan individuen toekomen op een uitvoeringshandeling; dit is een prerogatief van de Europese Commissie, naleving ervan vindt plaats via de EU-instellingen.

Richtlijnconform interpreteren en regelgeven.

Een andere optie is om na 17 oktober 2024 de Wbni conform de NIS2 Richtlijn te interpreteren. Onder bijvoorbeeld de term “vitale aanbieder” uit artikel 1 Wbni kan de gemeente overheidsinstanties verstaan die als belangrijk of essentieel aan te merken zijn volgens de maatstaven van de NIS2. De evenredige technische en organisatorische maatregelen om risico’s te beheersen uit artikel 7 en 8 Wbni kunnen decentrale overheden conform artikel 21 NIS2 interpreteren; dit geldt vergelijkbaar voor de meldplicht uit artikel 10 tot en met 14 Wbni in het kader van artikel 23 NIS2. Overweging 17 uit de preambule bij de NIS2 geeft hier ook richting om aanbieders van essentiële diensten als essentiële entiteiten onder de NIS2 aan te merken.

De Nederlandse overheid zelf geeft het advies aan organisaties om de inhoudelijke verplichtingen vooral na te leven omwille van de cyberveiligheid, vooruitlopend op een nieuwe wet. Zie bijvoorbeeld de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Hiertoe mag de overheid (gezien het bovenstaande) private organisaties uiteraard niet dwingen, noch bij gebreke aan naleving van de NIS2 verplichtingen hierop handhaven. Voor gemeenten en overige decentrale overheden geldt die naleefaanmoediging des te sterker uiteraard.

Conclusie

Uit de analyses van artikel 21 en 23 van de NIS2 valt te concluderen dat decentrale overheden na 17 oktober 2024 deze artikelen kunnen en mogen naleven. Verder trekken wij de conclusie dat die artikelen hoogstens tot garanderen van rechten voor particulieren leiden, niet tot het opleggen van plichten aan hen. Artikel 21 lid 1 samen met lid 2 sub b, c, d, e, g, i en j NIS2 kan bovendien rechtstreeks werken op particulieren, wat betekent dat zij zich hierop jegens de gemeente zouden kunnen beroepen.

Ook al weet de Nederlandse overheid mogelijk geen omzetting te bereiken binnen de verplichte termijn, kunnen en mogen gemeentes hoe dan ook beginnen met het treffen van risicobeheersmaatregelen voor cyberdreigingen en het rapporteren van dreigingen of inbreuken aan de landelijke CSIRT. Gezien Von Colson & Kamann zouden wij zelfs zeggen dat de gemeentes en andere decentrale overheden hiertoe verplicht zijn.

Constateert de gemeente dat zij (bijvoorbeeld wettelijk gezien) geheel afhankelijk is van de acties die de centrale overheid neemt en dus zelf weinig tot niets kan of mag ondernemen, dan blijft de bal hiervoor bij de centrale overheid liggen. Hiervoor adviseren wij om duidelijk overleg te voeren met het ministerie van Justitie en Veiligheid (JenV). Vervolgens, over de specifieke invulling van nadere regels, achten wij het voor elke decentrale overheid verstandig om binnen de koepels (VNG, UvW, dan wel IPO) contact te houden.

Meer informatie

Tijdlijn digitalisering, Kenniscentrum Europa Decentraal

Cyberveiligheid, onderwerppagina Kenniscentrum Europa Decentraal.

Uitleg over NIS2, Rijksoverheid op Digitale Overheid.

NIS2 Zelfevaluatie vragenlijst door Rijksdienst voor Ondernemend Nederland.

Waarom is cyberveiligheid belangrijk?

Nederland is een van de meest gedigitaliseerde samenlevingen van Europa. Digitaal werken, winkelen, een rijbewijs aanvragen, een verhuizing doorgeven, financiën doen; alles kan online. Daarom moeten burgers en bedrijven ervan uit kunnen gaan dat zij dit veilig kunnen doen. De Europese economie, democratie en samenleving zijn dus meer dan ooit afhankelijk van wat er gebeurt in de digitale wereld. Dit betekent dat de gevolgen bij een platlegging van een cruciaal digitaal systeem, bijvoorbeeld een hackaanval op banken of elektriciteit- of drinkwaterdistributiesystemen, des te groter zal zijn.

Toch blijft de veiligheid van de digitale wereld achter bij die van de fysieke wereld. Veel (digitale) systemen, diensten en processen zijn namelijk niet ontworpen met cyberveiligheid en risicomanagement als fundament (security-by-design en security-by-default). Dit heeft als gevolg dat de eindgebruikers verantwoordelijk zijn voor de veiligheid.

Om de digitale samenleving veiliger te maken is de Nederlandse overheid druk bezig met het opstellen van nieuwe wet- en regelgeving. Zo is het onder andere opgenomen in de Werkagenda Waardengedreven Digitaliseren en ligt er een Nederlandse cyberveiligheidsstrategie klaar voor 2022-2028. Dit betekent dat ons de komende jaren veel te wachten staat op dit gebied. Om op de hoogte te blijven van nieuwe wet- en regelgeving kunt u onze tijdlijn in de gaten houden.

Decentrale Overheden

Ook decentrale overheden krijgen te maken met cybercriminaliteit. Decentrale overheden verwerken bijvoorbeeld veel persoonsgegevens en cybercriminelen kunnen dit gebruiken om online fraude te plegen. Daarnaast digitaliseren gemeenten steeds meer. Het is daarom  belangrijk dat gemeenten hun netwerk op de juiste manier  beveiligen. Een goed beveiligde digitale infrastructuur draagt bij aan het draaiende houden van de online economie en het waarborgen van de welvaart. Het is verstandig dat gemeenten, provincies of waterschappen nagaan wat zij kunnen doen voor een zo veilig mogelijke cyberspace. Denk bijvoorbeeld aan het nemen van een aantal basismaatregelen, opgesteld door het Nationaal Cyber Security Centrum (NCSC).

Europees beleid voor cybersecurity

De Europese Unie is al enige tijd bezig met het nemen van acties ter bescherming tegen cybercriminaliteit. Er zijn binnen Europa verschillende initiatieven ondernomen. Zo heeft de EU verschillende strategieën en richtlijnen gepubliceerd met als doel de digitale veiligheid van burgers, bedrijven en overheden te waarborgen.

Europese cyberveiligheidsstrategie

In december 2020 presenteerde de Commissie een nieuwe EU cyberveiligheidsstrategie. Deze strategie heeft als doel om de EU meer bestand te maken tegen cyberdreigingen zodat burgers, bedrijven en overheden kunnen profiteren van betrouwbare digitale instrumenten. De strategie omvat drie doelstellingen:

1. Weerbaarheid, technologische soevereiniteit en leiderschap;
2. Operationele capaciteit opbouwen om te voorkomen, te ontmoedigen en te reageren op cybercriminaliteit;
3. Een mondiale en open cyberspace bevorderen via een intensievere samenwerking.

Met de strategie wil de Commissie internationale normen en standaarden in de cyberspace promoten.

Cyberbeveiligingsverordening

In 2019 werd de Cyberbeveiligingsverordening (2019/881) gepubliceerd. Deze verordening zorgt voor een EU-breed kader voor certificeringsregelingen. De wet bevat technische eisen, normen en procedures voor de gehele EU. Daarmee wordt gegarandeerd dat alle gecertificeerde ICT-producten en -diensten zijn geëvalueerd en voldoen aan de beveiligingsvoorschriften. Daarnaast zorgt de verordening voor een sterker mandaat voor het EU-agentschap voor cybersecurity (ENISA). Dit agentschap is opgericht om lidstaten en belanghebbenden te ondersteunen op het gebied van cybersecurity. Daarnaast draagt het actief bij aan het Europese cyberveiligheidsbeleid en reageert het op grensoverschrijdende cyberincidenten.

Dit kader zorgt voor een EU-brede standaard waar (decentrale) overheden op kunnen vertrouwen wanneer zij nieuwe ICT-producten of diensten inkopen. De Nederlandse uitvoering van de wet wordt geregeld in de Uitvoeringswet Cyberbeveiligingsverordening. De wet heeft betrekking op procedures, handhaving, rechtsbescherming en de aanwijzing van uitvoeringsorganen.

Richtlijn inzake de veerkracht van kritieke entiteiten (CER)

In de Europese cybersecurity strategie werd de Richtlijn inzake de veerkracht van kritieke entiteiten aangekondigd, ook de CER-Richtlijn (Critical Entities Resilience) genoemd. De CER vervangt de richtlijn betreffende Europese kritieke infrastructuur (ECI-richtlijn). De CER heeft als doel de werkzaamheden ter bescherming van kritieke entiteiten op drie gebieden te maximaliseren en te versnellen: paraatheid, respons en internationale samenwerking. Daarvoor moet de richtlijn ervoor zorgen dat iedere lidstaat een nationale strategie vaststelt om de weerbaarheid van kritieke entiteiten te waarborgen. Ook zorgt de richtlijn ervoor dat er regelmatig (grensoverschrijdende) risicobeoordelingen worden uitgevoerd.

Ook zullen er extra sectoren worden toegevoegd. Naast energie en transport, zullen ook voedselvoorziening, zorg, financiële marktinfrastructuur, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, bankwezen en ruimtediensten hier onderdeel van uit maken.

De richtlijn zal naar verwachting in 2023 in werking treden.

Richtlijn Netwerk- en informatiebeveiliging

Op 27 december 2022 is de definitieve Richtlijn Netwerk- en informatiebeveiliging (NIS2) (Richtlijn 2022/2555) gepresenteerd. De NIS2-richtlijn is een herziening van de NIS-richtlijn en richt zich op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De oude NIS-richtlijn was door de veranderende manier van cyberdreigingen en de digitale transformatie van de samenleving niet meer up-to-date. De nieuwe richtlijn moet ervoor zorgen dat de veiligheidsvereisten versterkt worden. Zo komt er een wettelijke verplichting voor informatiebeveiliging en het melden van incidenten. Ook worden toezichtmaatregelen strenger en wordt het toepassingsgebied uitgebreid naar onder meer het openbaar bestuur. Daarnaast wordt het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten opgeheven.

In Nederland zal de NIS2-richtlijn worden overgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Dit moet uiterlijk 17 oktober 2024 gebeuren. Lees meer over de NIS2-richtlijn en de betekenis hiervan voor decentrale overheden in onze praktijkvraag.

Wet inzake Cyberveerkracht

In september 2022 werd de Wet inzake Cyberveerkracht Verordening (2022/0272/EU) voorgesteld. Dit voorstel bevat beveiligingsregels voor digitale producten en diensten op de Europese markt. Het doel is om te zorgen voor veiligere hardware- en softwareproducten om consumenten en de markt verder te beschermen tegen cyberincidenten. Dit wetsvoorstel bouwt voort op de Europese Telecommunicatiecode. Ook vormt het een aanvulling op de NIS2-richtlijn en de Richtlijn inzake de veerkracht van kritieke entiteiten (CER).

Door de nieuwe regels krijgen fabrikanten de verantwoordelijkheid om ervoor te zorgen dat producten met digitale elementen die op de EU-markt worden aangeboden aan de beveiligingsvereisten voldoen. Het is echter nog onduidelijk welke rol decentrale overheden gaan spelen in het handhaven van de nieuwe maatregelen.

Nederlands beleid voor cybersecurity

Ook in Nederland is een goed cybersecuritybeleid van belang. Nederland is namelijk één van de meest gedigitaliseerde landen in Europa. De Nederlandse overheid heeft daarom verschillende initiatieven ondernomen om ervoor te zorgen dat burgers en bedrijven veilig online kunnen zijn.

Nederlandse Cybersecurity Agenda

De Nederlandse Cybersecurity Agenda (NCSA) werd in 2018 gepresenteerd. Het doel is de nationale veiligheid in het digitale domein te beschermen en tegelijkertijd de economische en maatschappelijke kansen van digitalisering op een veilige wijze te verzilveren. De agenda is onderverdeeld in zeven ambities die bijdragen aan deze doelstelling:

1. Nederland heeft zijn digitale slagkracht op orde;
2. Nederland draagt bij aan internationale vrede en veiligheid in het digitale domein;
3. Nederland loopt voorop in het bevorderen van digitaal veilige hard- en software;
4. Nederland beschikt over weerbare digitale processen en een robuuste infrastructuur;
5. Nederland werpt door middel van cybersecurity succesvol barrières op tegen cybercrime;
6. Nederland is toonaangevend op het gebied van cybersecurity kennisontwikkeling;
7. Nederland beschikt over een integrale, publiek-private aanpak van cybersecurity.

In 2021 is de NCSA geëvalueerd. Hieruit bleek dat er door de NCSA een betere onderlinge afstemming binnen de publieke sector is. Door het proces rond het opstellen van de NCSA hebben betrokken partijen mee begrip gekregen voor welke zaken voor andere partijen belangrijk zijn. Echter bleek dat het voor een deel van de NCSA lastig is om een hoogwaardige effectevaluatie uit te voeren. Hiervoor zijn aanbevelingen gemaakt voor een toekomstige agenda. Het volledige rapport vindt u hier.

Nederlandse Cybersecurity Strategie 2022-2028

In 2022 werd de nieuwe Nederlandse Cybersecurity Strategie gepresenteerd. Het is zaak dat er een veilig digitaal ecosysteem wordt gecreëerd. Dit, omdat Nederland steeds afhankelijker wordt van digitale systemen. Tot voor kort lag de verantwoordelijkheid voor de veiligheid hiervan bij eindgebruikers zoals de burger en de ondernemingen. De strategie kent vijf speerpunten:

• Beter zicht op de dreiging;
• Meer cybersecurityspecialisten;
• Overheid en sectoren nemen verantwoordelijkheid;
• Beter toezicht en de noodzakelijke wet- en regelgeving;
• Heldere informatie via een nationale cyberautoriteit.

Zo wordt het Nederlandse cybersecuritystelsel door de overheid verder doorontwikkeld en uitgebreid ten behoeve van alle overheidslagen. Ook krijgen gemeenten en provincies te maken met aangescherpte beveiligingseisen. Er wordt van hen verwacht dat zij, samen met de Rijksoverheid, het goede voorbeeld geven. Dit betekent dat zij een weerbaarheidsniveau hebben dat past bij de risico’s.

Werkagenda Waardengedreven Digitaliseren

In de Werkagenda Waardengedreven Digitaliseren worden maatschappelijke relevanties, concrete doelen en acties met betrekking tot de digitale transitie besproken. Zo wordt ook cyberveiligheid besproken. In de werkagenda wordt aangegeven dat gewerkt wordt aan de voorbereiding van wet- en regelgeving, toezicht en het verlagen van de auditlast op cyberbeveiliging die de Rijksoverheid aan medeoverheden oplegt. Zo staat er een herziene Baseline Informatiebeveiliging Overheid (BIO) op de planning voor eind 2023. Ook wordt gewerkt aan jaarlijkse overheid brede oefeningen met gesimuleerde hackaanvallen doormiddel van bijvoorbeeld Red Teaming. De toolkit Red Teaming staat al online en kunt u hier vinden.

Baseline informatiebeveiliging Overheid Agenda

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor (decentrale) overheden. Hierdoor is er één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid. De BIO is te vinden op deze pagina. Gemeenten kunnen voor meer informatie ook de website van de Informatiebeveiligingsdienst van de VNG raadplegen.

Toolbox Cyberincidenten

De Toolbox Cyberincidenten bevat hulpmiddelen bij de voorbereiding op en de aanpak van een cyberincident. Het bevat scans en hulpmiddelen, tools voor bestuurders, bewustwording en interactieve spellen om te oefenen met cyberincidenten. Daarnaast is er ieder jaar een Overheidsbrede Cyberoefening, waarin alle partners in de publieke sector oefenen op crisispreparatie.

Wbni

De Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) is per 9 november 2018 in werking getreden. Hierin is de NIS-richtlijn verwerkt. Deze zal voor eind 2024 aangepast moeten zijn naar de nieuwe NIS2-richtlijn. In de Wbni wordt een meldplicht van incidenten en een zorgplicht geregeld. Ook moeten digitale dienstverleners incidenten melden bij het Computer Security Incident Response Team (CSIRT). In Nederland is het National Cyber Security Centrum (NCSC) de aangewezen CSIRT. Ook is het NCSC het nationaal contactpunt namens Nederland voor EU-lidstaten bij grensoverschrijdende cyberincidenten.

Waar de NIS2-Richtlijn als belangrijke of essentiële entiteit aangemerkte organisaties verplicht tot het nemen van cyberveiligheidsverhogende maatregelen om risico’s op incidenten te beperken, treft de CER verdergaande maatregelen voor een beperkter aantal zogeheten “kritieke entiteiten”.

NIS2 en cyberweerbare vitale dienstverlening

De NIS2-Richtlijn breidt zowel het toepassingsbereik uit als het aantal en type verplichtingen ten opzichte van voorloper Richtlijn 2016/1148 (NIS1). Met de NIS1-Richtlijn zette de EU de eerste stap naar geharmoniseerde normen voor verhoogde weerbaarheid van vitale infrastructuur en dienstverlening in de lidstaten.

De NIS1 Richtlijn verplichtte lidstaten om aanbieders van diensten via netwerk en informatiesystemen die cruciaal zijn voor instandhouding van kritieke maatschappelijke en/of economische activiteiten te motiveren tot het nemen van cyberveiligheidsrisicobeheersmaatregelen. In 2018 implementeerde Nederland deze Richtlijn in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De nu voorgestelde Cbw zal de Wbni vervangen.

Voorstel: decentrale overheid wordt essentiële entiteit.

De NIS2-Richtlijn heeft in vergelijking met de NIS1-Richtlijn een breder toepassingsbereik gekregen, waaronder overheidsinstanties. De NIS2-Richtlijn laat daarbij de keus aan lidstaten om lokale overheidsinstanties onder de NIS2 te voegen. Het consultatiewetsvoorstel voor de Cyberbeveiligingswet verduidelijkt dat het de wens van het kabinet is om alle decentrale overheden (gemeenten, waterschappen en provincies) als overheidsinstantie en essentiële entiteiten aan te merken onder de NIS2-Richtlijn. Gemeenschappelijke regelingen dienen alsnog onder Bijlage I of II te vallen, en daarnaast als overheidsinstantie te kwalificeren onder artikel 6 punt 35 van de NIS2-Richtlijn.

“Zorg, meld en registreer”

In essentie komt het wetsvoorstel voor de Cbw die de NIS2-Richtlijn zal implementeren neer op vier verplichtingen, inhoudelijk samen te vatten als “zorg, meld en registreer”:

• Zorg voor passende en evenredige technische, operationele en organisatorische maatregelen om risico’s te verminderen op incidenten met netwerk- en informatiesystemen die de decentrale overheid inzet. Hiertoe kan de overheid aansluiten bij bestaande certificeringsregelingen of gecertificeerde entiteiten inzetten.
• Meld en registreer bij het computerbeveiligingsincidentreactieteam (computer security incident response teams of “CSIRT”) elk incident dat de dienstverlening ernstig operationeel kan verstoren en aanzienlijke (im)materiële schade kan veroorzaken. Dit moet op de volgende manieren:
  • Binnen 24 uur waarschuwen of het incident vermoedelijk onrechtmatig veroorzaakt is en/of grensoverschrijdende gevolgen zou kunnen hebben. Binnen 72 uur meer informatie melden, zoals ernst en gevolgen van het incident en schade-indicatoren.
  • Maximaal één maand na het vorige punt rapporteren met details van oorzaak en gevolg en de ernst ervan, toegepaste maatregelen en eventueel grensoverschrijdende gevolgen.

CER en Wwke

De CER-Richtlijn geeft regels voor lidstaten voor het verhogen van de weerbaarheid van kritieke entiteiten. Hier valt een verplichting onder tot het beperken van alle relevante risico’s (all hazard benadering). Deze risico’s kunnen dus ook een andere oorsprong dan menselijk gedrag hebben. De CER-Richtlijn omvat elf sectoren en geeft een minimum beschermingsniveau. Alle als kritiek aangewezen entiteiten onder de CER-Richtlijn zijn direct ook essentiële entiteiten onder de NIS2-Richtlijn.

De Wwke zal de CER-Richtlijn implementeren in de Nederlandse rechtsorde. De memorie van toelichting bij het ter consultatie voorliggende wetsvoorstel geeft aan dat decentrale overheden buiten de sector overheid vallen uit de Bijlage en als zodanig geen (publieke) kritieke entiteit zijn. Echter, zij kunnen alsnog binnen één van de andere tien sectoren vallen, anders dan de sector overheid.

Inwerkingtreding, omzetting, toepassing

Beide Richtlijnen traden op 17 januari 2023 in werking. Lidstaten hebben tot uiterlijk 17 oktober 2024 om deze om te zetten en moeten de bepalingen ter omzetting van de Richtlijnen vanaf 18 oktober 2024 toepassen. Nederland heeft aangegeven deze termijn niet te kunnen halen en spoort zoveel mogelijk alle organisaties op om zelfstandig te voldoen aan de NIS2.

Raadplegingstermijn

U kunt tot en met 1 juli 2024 reageren op de internetconsultaties van de voorstellen voor de Cbw en de Wwke.

Meer informatie

Consultatie Cbw, Overheid.nl
Consultatie Wwke, Overheid.nl
Congres Let’s Get Digital 3.0: van cyber-incident naar cyber-resistent, 18 juni a.s., Utrecht.
Cyberveiligheid, onderwerppagina Kenniscentrum Europa Decentraal.
NIS2 Richtlijn, via Tijdlijn Digitalisering, Kenniscentrum Europa Decentraal .