Praktijkvraag

Laatste update: 5 september 2023

Door:

Onze decentrale overheid heeft goede cybersecurity hoog in het vaandel staan en wil het interne beleid actueel houden. De verplichtingen uit de oorspronkelijke NIS-richtlijn golden niet voor ons, maar met de nieuwe NIS2-richtlijn worden de regels voor digitale overheidsdiensten aangescherpt. Wat betekent dit voor ons en wat is het verschil met de eerste NISS-richtlijn?
Antwoord in het kort

NIS2 verschilt op diverse vlakken van de eerste NIS-richtlijn. De nieuwe richtlijn heeft namelijk een ruimer toepassingsgebied, waardoor er meer sectoren en entiteiten onder de richtlijn vallen. Met de invoering van de NIS2-richtlijn zullen de regels voor de beveiliging van digitale diensten ook voor lokale (mede)overheden gelden. Dat betekent dat decentrale overheden verplicht worden om meer maatregelen te nemen om cybersecurityrisico’s te beheersen. Daarnaast stelt de NIS2-richtlijn dat nationale autoriteiten de naleving van de regels uit NIS2 strenger moeten handhaven.

Wat is cybersecurity?

Cybersecurity is een verzamelnaam voor de verschillende soorten activiteiten die bedoeld zijn om netwerk- en informatiesystemen en de gebruikers daarvan te beschermen tegen cybercriminaliteit. Cybercriminaliteit is criminaliteit met het internet en ICT als middel én als doelwit, zoals malware, hacking of phishing mails. Ook decentrale overheden kunnen het slachtoffer worden van cybercriminaliteit.

Europees beleid voor cybersecurity

Decentrale overheden maken steeds meer gebruik van digitale technologieën bij hun dienstverlening. Met deze toenemende digitale dienstverlening stijgt echter ook het risico op cyberaanvallen of andere vormen van cybercriminaliteit. Het belang van goede cybersecurity in een organisatie is dus heel groot. Daarom is de Europese Unie al jaren bezig met het ontwikkelen van een cyberdefensiebeleid. De belangrijkste stappen die hierin zijn gezet zijn als volgt:

  • Cybersecuritystrategie
    Al in 2013 stelde de Europese Commissie de cybersecuritystrategie voor, met als doel om cybercriminaliteit in de EU drastisch te verminderen. Sindsdien is er natuurlijk veel veranderd, dus presenteerde de Commissie in december 2020 een nieuwe strategie. Deze strategie is bedoeld om Europa nog beter voor te bereiden op cyberdreigingen zodat Europese burgers, bedrijven en overheden op een veilige manier gebruik kunnen maken van digitale instrumenten.
  • Cybersecurityverordening
    De Cybersecurityverordening bevat een certificeringskader voor ICT-producten, -diensten en -processen. Dat betekent dat alle gecertificeerde producten, diensten en processen zijn geëvalueerd en aan specifieke veiligheidsvoorschriften voldoen. Zo kan bijvoorbeeld een Nederlandse decentrale overheid erop vertrouwen dat deze veilig te gebruiken zijn wanneer zij nieuwe ICT inkopen.
  • NIS-richtlijn

NIS-richtlijn

Om tot een succesvol Europees cybersecuritybeleid te komen is het nodig dat lidstaten goed samenwerken op dit gebied. De eerste concrete uitwerking hiervoor was de Richtlijn netwerk- en informatiebeveiliging (NIS-richtlijn). Deze trad in augustus 2016 in werking. De richtlijn bevat beveiligingsverplichtingen voor aanbieders van digitale diensten en moest zorgen voor een verbetering van de veerkracht van netwerk- en informatiesystemen in de EU-lidstaten. De Europese regels uit de NIS-richtlijn zijn in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Na een aantal jaren werd echter duidelijk dat de regels uit de NIS-richtlijn tekortschoten. Zo bleek het EU-bedrijfsleven niet weerbaar genoeg voor de veranderende manier van cyberbedreigingen en is de weerbaarheid ongelijk verdeeld over lidstaten en sectoren. Ook bleek dat er te weinig gemeenschappelijk inzicht bestaat over de bedreigingen en uitdagingen voor de EU.

NIS2-richtlijn

In december 2020 stelde de Commissie een herziening van de NIS-richtlijn voor (NIS2). De Commissie vond namelijk dat de huidige NIS-richtlijn door de digitale transformatie van de samenleving niet meer up-to-date is. De nieuwe richtlijn moet ervoor zorgen dat de veiligheidsvereisten versterkt worden.

Uitbreiding van het toepassingsgebied

Met NIS2 wordt het toepassingsgebied van de bestaande NIS-richtlijn uitgebreid naar diverse sectoren die belangrijk zijn voor de economie en samenleving. Ongeveer 4000 instellingen, waaronder het openbaar bestuur, worden verplicht om meer maatregelen te nemen om cyberbeveiligingsrisico’s te beheersen. Zo moeten ze aan strengere beveiligings- en rapportagevereisten voldoen. Ook alle middelgrote en grote ondernemingen worden verplicht tot zwaardere beveiligingsvoorschriften.

De sectoren waar het om gaat zijn: energie, vervoer, bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie, en digitale aanbieders.

Andere relevante wijzigingen die NIS2 met zich meebrengt:

  1. Het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten wordt opgeheven. Dat betekent dat alle middelgrote en grote entiteiten die actief zijn in sectoren of diensten verlenen die onder de richtlijn vallen, aangemerkt worden als aanbieders van essentiële diensten;
  2. Het verscherpt de beveiligingseisen door het opleggen van een aanpak voor risicobeheersing, met een lijst van minimale basisbeveiligingselementen die toegepast moeten worden;
  3. De invoering van meer precieze bepalingen inzake de procedure voor incidentenmelding, de inhoud van de meldingen en de termijnen. Entiteiten moeten elkaar en het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) op de hoogte brengen van belangrijke cyberincidenten en -dreigingen;
  4. De Commissie stelt voor om de veiligheid van toeleveringsketens en relaties met leveranciers aan te pakken.

Daarnaast wordt in de NIS2 bepaald dat de nationale autoriteiten strenger moeten handhaven op het naleven van deze regels. Er zal sprake zijn van een proactief beleid waarbij controles steekproefsgewijs worden uitgevoerd. Het doel van deze richtlijn is dus meer dan ooit om de cybersecurity op een fatsoenlijk niveau te brengen en houden. Wanneer bedrijven en entiteiten hun beveiligingseisen niet op orde hebben zal dit waarschijnlijk vaker resulteren in meer en hogere boetes. De boetes kunnen oplopen tot ten minste 10 miljoen euro of 2% van de totale wereldwijde omzet. De EU hoopt dat er door de nieuwe regels meer informatie-uitwisseling en samenwerking rondom cybercrisisbeheer op de verschillende overheidsniveaus plaats zal vinden.

Wat betekent dit voor decentrale overheden?

De regels uit de NIS-richtlijn zijn van toepassing op ‘aanbieders van essentiële diensten en digitaledienstverleners’. Welke aanbieders daaronder vallen staat beschreven in bijlage II bij de NIS-richtlijn. Uit de Wbni blijkt dat het in Nederland moet gaan om een ‘vitale aanbieder’, de Rijksoverheid of digitaledienstverleners. De website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid gaat verder in op de verschillende categorieën aanbieders. Duidelijk is dat de gemeenten, provincies en waterschappen niet onder de Wbni vallen.

Met de inwerkingtreding van de NIS2 verandert dit. De nieuwe regels zullen namelijk voor veel meer bedrijven en instellingen gelden. Ook publieke organisaties vallen onder de nieuwe richtlijn. Staatssecretaris Van Huffelen (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, staatssecretaris Digitalisering en Koninkrijksrelaties) is van mening dat lokale medeoverheden onder de NIS2-richtlijn zullen vallen als belangrijke entiteiten. Dat houdt in dat decentrale overheden krachtens NIS2 ook aan de Europese verplichtingen op het gebied van cybersecurity moeten voldoen. Ze zullen maatregelen moeten nemen om hun ICT te beveiligen tegen incidenten, zoals het doen van een risicoanalyse, incidentafhandeling en gebruik maken van cryptografie en encryptie. Voor ernstige incidenten geldt bovendien een meldplicht. Hiervoor kunnen decentrale overheden de Handreiking Cybersecuritymaatregelen van het Nederlands Cyber Security Centrum raadplegen. Gemeenten kunnen hiervoor ook specifiek terecht bij de Informatiebeveiligingsdienst (IBD) van de VNG.

Voortgang

Op 27 december 2022 is de definitieve versie van de NIS2-richtlijn in het Publicatieblad van de EU gepubliceerd. 20 dagen na deze bekendmaking is de richtlijn in werking getreden. De lidstaten hebben daarna nog 21 maanden de tijd om de richtlijn om te zetten in nationale wetgeving. In Nederland zal de Wbni dan moeten worden aangepast, onder meer om de verplichtingen voor overheden vorm te geven.

Meer informatie

Digitale Overheid, Kenniscentrum Europa Decentraal

Cybersecurity, Kenniscentrum Europa Decentraal