Wij beginnen steeds meer te horen over de NIS2-richtlijn. Graag zouden wij iets meer weten over de algemene inhoud van deze richtlijn en wat het gaat betekenen voor onze organisatie. Zouden we hier een beknopte uitleg over kunnen krijgen?
Kort Antwoord
De NIS2 stelt eisen rondom de cyberveiligheid van aanbieders van essentiële en belangrijke diensten. De sector ‘overheid’ is onderdeel van de lijst met essentiële diensten. Afhankelijk van de grootte van de organisatie, kan een decentrale overheid hier onder vallen. Daarnaast worden onder andere drinkwaterbeheer en afvalbeheer als respectievelijk essentiële en belangrijke diensten gezien. Aangezien decentrale overheden ook hier een rol in spelen, zullen zij ook op deze manier in aanraking komen met de NIS2. De Nederlandse overheid heeft tot en met eind 2024 om de NIS2-richtlijn in het wetsysteem op te nemen.
NIS2
Op 16 januari 2023 is de richtlijn (EU) 2022/2555, beter bekend als NIS2, in werking getreden. NIS is de afkorting voor Network- and Information Systems, oftewel netwerk- en informatiesystemen. Dit zijn apparaten die met elkaar verbonden zijn en digitaal data opslaan en verwerken om een proces uit te voeren. Het doel van deze richtlijn is het beter beveiligen van deze systemen. De lidstaten hebben tot eind 2024 tijd om de NIS2 in hun nationale wetgeving op te nemen.
Vervanging NIS-richtlijn
Zoals de naam suggereert, vervangt de NIS2 de eerdere NIS-richtlijn. In Nederland staat de NIS ook wel bekend als de Netwerk- en Informatiesysteem Beveiliging (NIB) richtlijn. De oude richtlijn was in 2016 in het leven geroepen om de betrouwbaarheid en veiligheid van netwerk- en informatiesystemen te vergroten. Deze is destijds in Nederland opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Deze systemen werden al langere tijd gezien als een essentieel onderdeel van de Europese markt. Verstoringen kunnen grootschalige effecten hebben, zoals het verhinderen van economische activiteiten, financieel verlies en het aantasten van het vertrouwen in de Europese markt. Om deze negatieve gevolgen te voorkomen, heeft de EU ingezet op het verbeteren van cyberbeveiliging. Dit houdt in dat de netwerk- en informatiesystemen bestendig worden tegen alles wat hun beschikbaarheid, vertrouwelijkheid of toegankelijkheid kan beperken of beschadigen.
Opzet NIS-richtlijn
De NIS-richtlijn wees een aantal aanbieders van essentiële diensten aan als ‘entiteiten uit kritieke sectoren’. Deze organisaties spelen een belangrijke rol in het functioneren van de maatschappij en economie. Hierbij wordt vaak gebruik gemaakt van netwerk- en informatiesystemen. Met het verbeteren van de cyberveiligheid van de entiteiten, werd ingezet op het garanderen van de uitvoering van essentiële diensten. Hiernaast moest elke lidstaat een nationale cyberveiligheidsstrategie uitzetten en een contactpunt voor noodgevallen met betrekking tot cyberveiligheid opzetten. Ook is er een computer security incident response teams (CSIRTs) netwerk opgezet om samenwerking tussen lidstaten te bevorderen.
Evaluatie NIS-richtlijn
Terugblikkend op de NIS-richtlijn, ziet de EU dat het een goede start is geweest voor een grootschalige uitbreiding van cyberveiligheid, waarmee een sterke basis is gelegd voor de toekomst. Uit een evaluatie bleek echter dat het bereik en de omvang van de NIS-richtlijn te klein is. Dit kwam ten eerste door de toegenomen digitalisatie en verbondenheid en ten tweede doordat de aangewezen sectoren niet langer de economie en maatschappij toereikend reflecteerden. Dit leidde tot verschillende niveaus van cyberweerbaarheid tussen lidstaten en sectoren, onvoldoende gezamenlijke erkenning van mogelijke dreigingen en een gebrek aan samenwerking.
De omvang van de NIS-richtlijn was te klein.
Om deze uitdagingen beter het hoofd te bieden is de NIS2-richtlijn opgezet.
NIS2: Wat is nieuw?
Net als zijn voorganger, richt de NIS2 zich in eerste instantie op de sectoren die essentiële diensten bieden. Dit zijn:
- Energie
- Vervoer
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheer van ICT-diensten
- Overheid
- Ruimtevaart
Binnen deze sectoren, richt de NIS2 zich specifiek op grote organisaties. Dit betekent dat de organisatie 250 of meer werknemers, een jaaromzet van meer dan €50 miljoen en een balanstotaal van meer dan €42 miljoen heeft. Onder de NIS2 worden deze aanbieders van essentiële diensten onder actief toezicht gezet. Dit houdt in dat reguliere inspecties en audits plaatsvinden. Hierbij wordt gelet op het naleven van verplichtingen, zoals het rapporteren van mogelijke cyberrisico’s.
Naast de lijst met essentiële aanbieders, vult de NIS2 de oude richtlijn aan met een lijst met belangrijke aanbieders. Dit kan gaan om middelgrote organisaties in de bovengenoemde sectoren. Een middelgrote aanbieder zit onder de minima van de grote organisatie, maar heeft meer dan 50 werknemers en een jaaromzet en balanstotaal van meer dan €10 miljoen. De belangrijke entiteiten staan onder minder strikt toezicht. De nadruk ligt hier op het achteraf controleren van verplichtingen rondom cyberbeveiliging.
Verder wijst de NIS2 ook nog zeven andere sectoren aan, waarin middelgrote en grote partijen ook als belangrijke aanbieders gelden. Dit zijn impactvolle sectoren waarbij een verstoring geen zeer ernstige maatschappelijke of economische gevolgen zou hebben. Dit gaat om:
- Post- en koerierdiensten
- Afvalstofbeheer
- Vervaardiging, productie en distributie van chemische stoffen
- Productie, verwerking en distributie van levensmiddelen
- Vervaardiging
- Digitale aanbieders
- Onderzoek
Implementatie NIS2
Nadat de NIS2 van kracht werd in januari 2023 is een implementatieperiode gestart van 21 maanden. In Nederland is er dit najaar nog een internetconsultatie. Gedurende zes weken kunnen burgers, bedrijven en overheidsinstellingen suggesties doen om de wet- en regelgeving die moet leiden tot het invoeren van de NIS2 richtlijn in Nederland te verbeteren. De exacte startdatum van de consultatie is nog niet bekend. Deze is eerder uitgesteld van het voor- naar het najaar van 2023.
Decentrale Relevantie
Aangezien de NIS2 nog geïmplementeerd moet worden is de exacte impact van de richtlijn nog niet bekend. Welke organisaties onder de NIS2 vallen, zal daardoor nog duidelijk moeten worden. De sector ‘overheid’ is een essentiële dienst. Hierdoor vallen decentrale overheden, afhankelijk van de grote van de organisatie, mogelijk onder de essentiële of belangrijke aanbieders. Hiernaast spelen decentrale overheden ook een rol in andere sectoren, zoals afvalwaterbeheer, drinkwaterbeheer en afvalbeheer. Ook op deze manier kunnen decentrale overheden dus te maken krijgen met de NIS2.
Bron
Implementatie CER en NIS2 richtlijnen, Nationaal Coördinator Terrorismebestrijding en Veiligheid
Tijdlijn implementatie CER & NIS2, Nationaal Coördinator Terrorismebestrijding en Veiligheid
NIS Directive, ENISA.
