Onze gemeente wenst de cyberbeveiliging van haar kwetsbare netwerk en informatiesystemen gestructureerd aan te pakken. Nu we volgens het Rijk onder de NIS2-Richtlijn vallen, maar de Cyberbeveiligingswet in de zomer 2025 in werking zal treden, vragen wij ons af of gemeenten na de omzettingstermijn rechtstreeks aan NIS2 moeten voldoen?
Antwoord in het kort
Ja, omdat de NIS2-Richtlijn actieruimte geeft voor iedere overheid (we spreken hierna van “de gemeente”). Dit komt vanwege artikel 2 lid 5 NIS2-Richtlijn en de keuze van de Nederlandse overheid om decentrale overheden aan te merken als overheidsinstantie, en als essentiële entiteit onder de Richtlijn. Het gebrek aan implementatie heeft gevolgen voor de rechtspositie van particulieren (natuurlijke en rechtspersonen) waar de gemeente rekening mee moet houden.
Richtlijn 2022/2555 (hierna: “NIS2”) is een gelaagde Richtlijn die voor de toepassing op decentrale overheidsinstanties twee belangrijke voorvragen geeft. Het startpunt voor het antwoord ligt dan ook bij de voorvraag of de gemeente een overheidsinstantie is volgens artikel 2 van de NIS2. Vervolgens moet de decentrale overheid aangemerkt worden als belangrijke of essentiële entiteit volgens artikel 3 NIS2. Daarna komt in deze praktijkvraag de Europeesrechtelijke consequenties aan bod van de hoogstwaarschijnlijk te laat geïmplementeerde NIS2 Richtlijn.
Voorvraag 1: gemeente waarschijnlijk overheidsinstantie onder NIS2
“Artikel 2 Toepassingsgebied […]
2. Deze richtlijn is ook van toepassing op entiteiten van het in bijlage I of II bedoelde soort, ongeacht hun omvang, wanneer: […]
f) de entiteit een overheidsinstantie is:
i) van de centrale overheid zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht, of
ii) op regionaal niveau zoals gedefinieerd door een lidstaat overeenkomstig het nationale recht, die, na een risicobeoordeling, diensten verleent waarvan de verstoring aanzienlijke gevolgen kan hebben voor kritieke maatschappelijke of economische activiteiten. […]
5. De lidstaten kunnen bepalen dat deze richtlijn van toepassing is op:
a) overheidsinstanties op lokaal niveau;
b) onderwijsinstellingen, met name wanneer zij kritieke onderzoeksactiviteiten verrichten. […]”
Artikel 2 Richtlijn 2022/2555
NIS2 maakt onderscheid tussen centrale, regionale, en lokale overheidsinstanties: Artikel 2 lid 2 onder f spreekt van entiteiten als overheidsinstanties, als het om overheidsinstanties van de centrale overheid gaat of als om overheidsinstanties op regionaal niveau. Beide overheidsinstanties vallen onder een sector die Bijlage I als zeer kritiek aanmerkt. Artikel 2 lid 5 aanhef en onder a spreekt over overheidsinstanties op lokaal niveau en koppelt daaraan de bevoegdheid voor lidstaten om het toepassingsbereik van de Richtlijn naar hen toe uit te breiden.
De decentrale overheden vallen (waarschijnlijk) buiten de eerste categorie overheidsinstanties, maar binnen de categorie lokale overheidsinstanties. Formalistisch gezien vallen zij buiten de tabel uit Bijlage I, onder 10, van de NIS2 en betreffen daarmee geen kritieke sector.
Recentelijk heeft de Nederlandse overheid het wetsvoorstel voor de Cyberbeveiligingswet ter internetconsultatie gelegd, waarin zij aangeeft voornemens te zijn om decentrale overheden als overheidsinstantie in de zin van NIS2 aan te merken.
Voorvraag 2: belangrijke of essentiële entiteit?
“Artikel 3 – Essentiële en belangrijke entiteiten
1. Voor de toepassing van deze richtlijn worden de volgende entiteiten als essentiële entiteiten beschouwd:[…]
d) in artikel 2, lid 2, punt f), i), bedoelde overheidsinstanties;
e) alle andere entiteiten van een in bijlage I of II bedoeld type die door een lidstaat aangemerkt zijn als essentiële entiteiten krachtens artikel 2, lid 2, punten b) tot en met e);
f) entiteiten die aangemerkt zijn als kritieke entiteiten uit hoofde van Richtlijn (EU) 2022/2557, zoals bedoeld in artikel 2, lid 3, van deze richtlijn;
g) indien de lidstaat daartoe besluit, entiteiten die vóór 16 januari 2023 door die lidstaat aangemerkt zijn als aanbieders van essentiële diensten overeenkomstig Richtlijn (EU) 2016/1148 of het nationale recht.2. Voor de toepassing van deze richtlijn worden entiteiten van een in bijlage I of II bedoeld type die niet in aanmerking komen als essentiële entiteiten krachtens lid 1 van dit artikel, als belangrijke entiteiten beschouwd. Hiertoe behoren entiteiten die door lidstaten aangemerkt zijn als belangrijke entiteiten krachtens artikel 2, lid 2, punten b) tot en met e). […]”
Artikel 3 Richtlijn 2022/2555
De NIS2 geeft vervolgens weinig duiding of en zo ja hoe lokale overheidsinstanties als essentieel of belangrijk aangemerkt kunnen, respectievelijk moeten worden. Het onderscheid maakt uit voor het toepasselijke toezicht op de entiteit: belangrijke entiteiten staan onder toezicht achteraf, essentiële entiteiten onder toezicht voor- én achteraf. Systematisch ziet de aanmerking belangrijk/essentieel in artikel 3 lid 1 en 2 NIS2-Richtlijn er gesloten uit. Met andere woorden, als geen van de voorwaarden van lid 1 of 2 opgaan, lijkt op het eerste oog een entiteit noch belangrijk, noch essentieel.
Met het antwoord op voorvraag 1 in het achterhoofd, vallen decentrale overheden duidelijk buiten artikel 3 lid 1 onder a), b), c), en d) van de NIS2. De overige factoren die een instantie essentieel maken, hebben de volgende haken en ogen voor decentrale overheden:
- Onder e): lokale overheidsinstanties vallen in formalistisch perspectief buiten de “in bijlage I of II bedoeld[e] type” overheid.
- Onder f): alleen centrale overheidsinstanties vallen volgens de tabel uit de bijlage (onder 9) onder de CER (Richtlijn 2022/2557).
- Onder g): als de gemeente als aanbieder van essentiële dienst onder de NIS1 (of Wbni) is aangemerkt, zou zij onder de NIS2 kunnen vallen. Hier moet ‘de lidstaat’ apart toe besluiten.
Voor wat betreft artikel 3 lid 2 NIS2 geldt hetzelfde als hierboven onder e) aangemerkt: lokale overheidsinstanties vallen buiten de “in bijlage I of II bedoeld[e] type” overheid. Dit zou hen volgens de logica van de Richtlijn geen belangrijke entiteit maken. Kortom, dit betekent dat een gemeente een besluit moet nemen om als belangrijke of essentiële entiteit onder de NIS2 te vallen. Ongeacht het bovenstaande, heeft de centrale overheid in het internetconsultatiewetsvoorstel voor de Cyberbeveiligingswet (Cbw) decentrale overheden als essentieel aangemerkt.
Mogelijk implementatiegebrek
“Artikel 41 – Omzetting
1. Uiterlijk op 17 oktober 2024 gaan de lidstaten over tot de vaststelling en bekendmaking van de noodzakelijke bepalingen om aan deze richtlijn te voldoen. Zij stellen de Commissie daarvan onmiddellijk in kennis.
Zij passen die bepalingen toe met ingang van 18 oktober 2024. […]
Artikel 46 – Adressaten
Deze richtlijn is gericht tot de lidstaten.”
Artikelen 41 en 46 Richtlijn 2022/2555
Om te voldoen aan artikel 46 en 41 van de NIS2 moeten wetgevende instanties van elke lidstaat deze bepalingen uiterlijk 17 oktober 2024 omzetten in nationaal recht. Binnen het Nederlandse staatsbestel is de wetgever in formele zin (de Kroon en Staten-Generaal) hiervoor logischerwijs als eerste aan zet, via artikel 82 e.v. (m.n. 92) Grondwet in lijn met het loyaliteitsbeginsel uit artikel 3 lid 4 van het Verdrag betreffende de Europese Unie en 291 van het Verdrag betreffende de Werking van de Europese Unie (hierna “VWEU”).
Het aantonen van omzetting vindt bijvoorbeeld plaats door een nieuwe wet aan te nemen en deze bij de Commissie aan te geven als omzettingsmaatregel voor de Richtlijn. Als alternatief kan de wetgever voorafgaand aan het verstrijken van de omzettingstermijn aantonen dat eerder ingevoerde en huidig geldende wetgeving de standaard uit de Richtlijn haalt.
Alhoewel het wetgevingstraject voor de omzetting van de NIS2 in de Cbw is gestart, zit het nog in consultatiefase. Tot en met 1 juli 2024 kunnen alle decentrale overheden hun visies en bevindingen op dit consultatievoorstel leveren, voordat de regering het gaat indienen in de Tweede Kamer.
De huidige Wet beveiliging Netwerk en informatiesystemen (Wbni) die diende als omzetting voor Richtlijn 2016/1148 (“NIS1”, de voorloper van NIS2), lijkt bovendien geen volwaardige implementatie te zijn van de NIS2. Overheidsinstanties kunnen op zich onder de Wbni vallen, voor zover zij aan te merken zijn als vitale aanbieders, of aanbieders van essentiële diensten. Echter, de NIS2 geeft kortgezegd meer en andere normen dan de NIS1, zoals op te maken valt uit de concordantietabel in Bijlage III bij de NIS2. Gezien de aanwijzingen dat het Rijk de implementatietermijn niet gaat halen, zit Nederland op centraal wetgevingsniveau dus na 17 oktober 2024 met een implementatiegebrek.
Implementatiegebrek helen = doorwerking EU-recht vinden.
Omdat de NIS2 het begrip “lidstaten” hanteert zonder dit nader te definiëren ligt er actieruimte voor decentrale overheden. Zij zijn immers medeoverheid en daarmee lidstaat van de Europese Unie. Voor de invulling van ruimte bij richtlijnen in algemene zin gaf het Hof van Justitie namelijk richting in de zaak Sabine von Colson en Elisabeth Kamann:
“[…] 26 Wel moet worden gepreciseerd, dat de uit een richtlijn voortvloeiende verplichting der Lid-Staten om het daarmee beoogde doel te verwezenlijken, alsook de verplichting der Lid-Staten krachtens artikel [huidig 3 lid 4 VWEU], om alle algemene of bijzondere maatregelen te treffen die geschikt zijn om de nakoming van die verplichting te verzekeren, voor alle met overheidsgezag beklede instanties in de Lid-Staten gelden, en dus, binnen het kader van hun bevoegdheden, ook voor de rechterlijke instanties. […]”
Zaak 14/83, HvJ 10 april 1984, Sabine von Colson en Elisabeth Kamann
Als we deze leer toepassen op de NIS2, volgt hieruit dat gemeentes binnen hun wettelijke bevoegdheid in beginsel actie moeten ondernemen om het resultaat van de NIS2 te garanderen. Hierna behandelen wij de vraag in hoeverre de NIS2 dit toelaat.
Resultaat NIS2: keuze tot verplichte naleving
Met Von Colson & Kamann in het achterhoofd, heeft artikel 2 lid 5 van de NIS2 na 17 oktober 2024 de legitieme betekenis dat de bevoegdheid om een gemeente aan te wijzen als lokale overheidsinstantie onder de Richtlijn over gaat op die gemeente, voor zover overig bestuursrecht die gemeente daartoe ook ruimte geeft. Omdat de wet voornamelijk specifieke verplichtingen toewijst aan belangrijke en/of essentiële entiteiten, zou die overheid in dat kader ook de overweging moeten maken. Al lijkt het systeem van de NIS2 in dat opzicht gesloten, betekent het alsnog dat artikel 2 lid 5 van de NIS2 gemeentes dit zelf laat bepalen.
Deze interpretatie kan tot gevolg in Nederland hebben dat decentrale overheden bij het implementatiegebrek autonoom bepalen of ze zich binden aan de Richtlijn via eigen bestuursrechtelijke handelingen. Dit kan een lappendeken in Nederland tot stand brengen van al dan niet NIS2 toepasselijkheidsverklaringen. Des te belangrijker een gemeente namelijk cyberveiligheid aanmerkt, des te eerder deze de plicht van de Richtlijn naar zich toe zal trekken. Om dit te ondervangen heeft het Rijk het voortouw genomen en de decentrale overheden tot essentiële overheidsinstantie onder NIS2 verklaard.
Rechtstreekse werking bij Richtlijnen na implementatiegebreken
Als een gemeente binnen de wettelijke bevoegdheid zich de opgave uit de Richtlijn als plicht toe-eigent, heeft dat gevolgen voor particulieren via het mechanisme van rechtstreekse werking, namelijk de inroepbaarheid van artikel 21 en 23 van de NIS2. Rechtstreekse werking betekent inroepbaarheid van Europeesrechtelijke normen door particulieren. Hierbij staat de bescherming van de rechtspositie van particulieren centraal. Het Hof van Justitie van de Europese Unie legde de basis voor deze doctrine in de jaren ’60 op grond van het loyaliteitsbeginsel (artikel 3 lid 4 van het VWEU) in de uitspraak Van Gend en Loos.
De voorwaarden voor rechtstreekse werking van Europese normen zijn voldoende duidelijkheid en onvoorwaardelijkheid. Hiervoor moeten we bekijken of de Europeesrechtelijke norm:
- geen moeilijke interpretatiekwesties oplevert (voldoende duidelijkheid), en
- geen ruimte laat die eerst met nader regelgevende of uitvoerende acties moet worden ingevuld (onvoorwaardelijkheid). Zou dat laatste namelijk volledig het geval zijn, dan zal elke particulier geduld moeten hebben totdat die specifieke acties eerst hebben plaatsgehad.
Normen die rechten inhouden voor individuen, die lidstaten geïmplementeerd zouden moeten hebben in het nationale recht, zijn meteen voldoende duidelijk en onvoorwaardelijk, dus inroepbaar jegens de overheid. Als een particulier dus tegenover de lidstaat rechten kan ontlenen aan een Richtlijnbepaling, voor zover de nationale wet deze niet garandeert, mag de particulier die in relatie tot de overheid inroepen. Door beroep op Richtlijnrechten te doen houdt de particulier de lidstaat gefocust om haar Europese doelstellingen te bereiken.
Do & Don’ts bij doorwerking Richtlijnen.
Artikel 288 VWEU geeft kenmerken van Richtlijnen. Elke Richtlijn bevat een resultaatsverbintenis die geldt voor lidstaten, met ruimte over de manier waarop zij dat resultaat moeten bereiken. Hieruit volgt dat een Richtlijn bij implementatiegebreken alleen plichten voor lidstaten genereert, nóóit voor particulieren. Hierbij één do en twee don’ts in die gevallen:
- Do: particulieren mogen voldoende duidelijke en onvoorwaardelijke richtlijnbepalingen inroepen tegenover de lidstaat.
- Don’t 1: een particulier mag zich tegenover andere particulieren op géén enkele Richtlijnbepaling beroepen. Dit heet het verbod op horizontale rechtstreekse werking bij richtlijnbepalingen.
- Don’t 2: een overheid mag een particulier nergens toe verplichten op grond van een Richtlijn. Richtlijnen zijn immers niet van toepassing op particulieren. Dit noemt men het verbod op omgekeerd verticale rechtstreekse werking. Zie voor een belangrijk toevoeging hierop de uitspraak van het Hof van Justitie Sozialhilfeverband Rohrbach v Arbeiterkammer Oberösterreich, waarbij het Hof in rechtsoverweging 34 specificeerde dat het voor de toepassing van het verbod op omgekeerd verticale rechtstreekse werking “niet van belang [is] of de betrokken instantie al dan niet zelf verantwoordelijk is voor de niet-omzetting van de betrokken richtlijn”.
Kanttekeningen
Deze uitleg geldt alléén voor wat betreft implementatiegebreken van Richtlijnen. Verordeningen zijn andere Europese wetten, waar geen plicht tot omzetten geldt. Verordeningen zijn zogezegd rechtstreeks toepasselijk en kunnen verplichtingen inhouden voor particulieren, zodra ze in werking treden.
Ook al kan en mag de gemeente de toepasselijkheid van de NIS2 op haar organisatie naar zich toe trekken en zich tot een belangrijke of essentiële entiteit verklaren onder de NIS2, het is enigszins een discussiepunt of vanwege de voorwaardelijkheid van artikel 2 lid 5 NIS2 rechtstreekse werking voor particulieren toekomt aan inhoudelijke NIS2 bepalingen.
Als de gemeente artikel 2 lid 5 van de NIS2 namelijk invult, zouden inhoudelijke NIS2 bepalingen rechten kunnen geven aan particulieren jegens de gemeente als (onderdeel van de) lidstaat, dus rechtstreekse werking kunnen krijgen.
Als de conclusie echter is dat particulieren ongeacht de handelswijze van gemeenten aanlopen tegen de voorwaardelijkheid in artikel 2 lid 5 NIS2 zouden zij met name aangaande artikel 21 NIS2 met lege handen dreigen te staan. Vertrouwend op dat eerste, gaan we na in welke mate op particulieren artikel 21 en 23 NIS2 toepasbaar kunnen zijn.
Analyse rechtstreekse werking artikel 21 NIS2
-
Tekst van artikel 21 NIS2 – Maatregelen beheer cyberbeveiligingsrisico’s
- De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.Rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten, zorgen de in de eerste alinea bedoelde maatregelen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat is afgestemd op de risico’s die zich voordoen. Bij de beoordeling van de evenredigheid van die maatregelen wordt naar behoren rekening gehouden met de mate waarin de entiteit aan risico’s is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.
- De in lid 1 bedoelde maatregelen zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerken informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen, en omvatten ten minste het volgende:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
- de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
- beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
- basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
- beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
- wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
- uitgevoerde gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens.
- De lidstaten zien erop toe dat een entiteit die vaststelt dat zij niet voldoet aan de in lid 2 bedoelde maatregelen, onverwijld alle noodzakelijke, passende en evenredige corrigerende maatregelen neemt.
- Uiterlijk op 17 oktober 2024 stelt de Commissie uitvoeringshandelingen vast met de technische en methodologische vereisten van de in lid 2 bedoelde maatregelen met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten en aanbieders van vertrouwensdiensten.
De Commissie kan uitvoeringshandelingen vaststellen met de technische en methodologische vereisten en, zo nodig, de sectorale vereisten voor de in lid 2 bedoelde maatregelen met betrekking tot andere dan de in de eerste alinea van dit lid bedoelde essentiële en belangrijke entiteiten.
Bij de voorbereiding van de in de eerste en de tweede alinea van dit lid bedoelde uitvoeringshandelingen volgt de Commissie zoveel mogelijk de Europese en internationale normen en de relevante technische specificaties. De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep en Enisa rond de ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, punt e).
Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 39, lid 2, bedoelde onderzoeksprocedure.”
Lid 1 verplicht tot het treffen van passende en evenredige risicobeheersmaatregelen en geeft hier aanwijzingen voor. Lid 2 vult in wat dat voor maatregelen zullen betreffen. Al deze maatregelen lenen zich voor interpretatie en toepassing door een gemeente. Voor subs a, f, en h zou rechtstreekse werking voor particulieren mogelijk ontbreken, omdat toepasselijkheid afhangt van de invulling die de decentrale of eventueel centrale overheid aan het begrip “beleid” geeft. Een particulier kan moeilijk een recht op beleid hebben. De overige bepalingen zou een particulier jegens de overheid kunnen inroepen, bijvoorbeeld wanneer beveiligingsincidenten zich voordoen en de particulier daar schade van ondervindt.
Lid 3 geeft een nadere inkleding van de evenredigheidsafweging die moet plaatsvinden. Lid 4 is een toezichtsverplichting voor lidstaten. Een particulier zou hier een recht op passende en evenredige corrigerende maatregelen toe kunnen komen, wanneer een gemeente deze nalaat te nemen bij gebrek onder lid 2. Lid 5 heeft geen rechtstreekse werking, omdat geen rechten aan individuen toekomen op een uitvoeringshandeling; dit is voorbehouden aan de Europese Commissie, naleving ervan vindt plaats via de andere EU-instellingen.
Analyse rechtstreekse werking artikel 23 NIS2
-
Tekst van artikel 23 NIS2-Richtlijn – Rapportageverplichtingen
- Elke lidstaat zorgt ervoor dat essentiële en belangrijke entiteiten elk incident dat aanzienlijke gevolgen heeft voor de verlening van hun diensten als bedoeld in lid 3 (significant incident) meldt bij zijn CSIRT of, indien van toepassing, zijn bevoegde autoriteit overeenkomstig lid 4. In voorkomend geval stellen de betrokken entiteiten de ontvangers van hun diensten onverwijld in kennis van significante incidenten die een nadelige invloed kunnen hebben op de verlening van die diensten. Elke lidstaat zorgt ervoor dat die entiteiten onder meer alle informatie rapporteren die het CSIRT of, indien van toepassing, de bevoegde autoriteit in staat stelt om eventuele grensoverschrijdende gevolgen van het incident te bepalen. Melding leidt niet tot blootstelling van de entiteit aan een verhoogde aansprakelijkheid.
Wanneer de betrokken entiteiten een significant incident overeenkomstig de eerste alinea melden bij de bevoegde autoriteit, zorgt de lidstaat ervoor dat die bevoegde autoriteit de melding na ontvangst doorstuurt naar het CSIRT.
In het geval van een grensoverschrijdend of sectoroverschrijdend significant incident zorgen de lidstaten ervoor dat relevante informatie die overeenkomstig lid 4 is gemeld, tijdig aan hun centrale contactpunten wordt verstrekt. - Indien van toepassing zorgen de lidstaten ervoor dat essentiële en belangrijke entiteiten de ontvangers van hun diensten die mogelijkerwijs door een significante cyberdreiging worden getroffen, onverwijld meedelen welke maatregelen die ontvangers kunnen nemen in reactie op die dreiging. Indien nodig stellen de entiteiten die ontvangers ook in kennis van de significante cyberdreiging zelf.
- Een incident wordt als significant beschouwd als het:
a) een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken;
b) andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. - De lidstaten zorgen ervoor dat de betrokken entiteiten, voor de in lid 1 bedoelde melding, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit:
a) onverwijld en in elk geval binnen 24 uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing geven, waarin, indien van toepassing, wordt aangegeven of het significante incident vermoedelijk door een onrechtmatige of kwaadwillige handeling is veroorzaakt, dan wel grensoverschrijdende gevolgen zou kunnen hebben;
b) onverwijld en in elk geval binnen 72 uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding indienen met, indien van toepassing, een update van de in punt a) bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting;
c) op verzoek van het CSIRT of, indien van toepassing, de bevoegde autoriteit, een tussentijds verslag indienen over relevante updates van de situatie;
d) uiterlijk één maand na de indiening van het in punt b) bedoelde incidentmelding, een eindverslag indienen waarin het volgende is opgenomen:
i) een gedetailleerde beschrijving van het incident, met inbegrip van de ernst en de gevolgen ervan;
ii) het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
iii) toegepaste en lopende risicobeperkende maatregelen;
iv) in voorkomend geval, de grensoverschrijdende gevolgen van het incident;
e) indien het incident nog aan de gang is op het moment dat het in punt d) bedoelde eindverslag wordt ingediend, zorgen de lidstaten ervoor dat de betrokken entiteiten op dat moment een voortgangsverslag indienen en binnen één maand nadat zij het incident hebben afgehandeld, een eindverslag indienen.
In afwijking van de eerste alinea, punt b), meldt een verlener van vertrouwensdiensten significante incidenten die gevolgen hebben voor de verlening van zijn vertrouwensdiensten onverwijld, en in elk geval binnen 24 uur nadat hij kennis heeft gekregen van het significante incident, bij het CSIRT of, indien van toepassing, de bevoegde autoriteit. - Het CSIRT of de bevoegde autoriteit verstrekt onverwijld en zo mogelijk binnen 24 uur na ontvangst van de in lid 4, punt a) bedoelde vroegtijdige waarschuwing een antwoord aan de meldende entiteit, met inbegrip van een eerste feedback over het significante incident en, op verzoek van de entiteit, richtsnoeren of operationeel advies voor de uitvoering van mogelijke risicobeperkende maatregelen. Wanneer het CSIRT de in de lid 1 bedoelde melding niet als eerste heeft ontvangen, worden de richtsnoeren door de bevoegde autoriteit in samenwerking met het CSIRT verstrekt. Het CSIRT verleent aanvullende technische ondersteuning indien de betrokken entiteit daarom verzoekt. Wanneer wordt vermoed dat het significante incident van criminele aard is, geeft het CSIRT of de bevoegde autoriteit ook richtsnoeren voor het melden van het significante incident aan de rechtshandhavingsinstanties.
- In voorkomend geval, en met name wanneer het significante incident betrekking heeft op twee of meer lidstaten, stelt het CSIRT, de bevoegde autoriteit of het centrale contactpunt de andere getroffen lidstaten en ENISA onverwijld in kennis van het significante incident. Die informatie omvat het soort informatie dat overeenkomstig lid 4 is ontvangen. Daarbij beschermen het CSIRT, de bevoegde autoriteit of het centrale contactpunt, overeenkomstig het Unie of het nationale recht, de beveiligings- en commerciële belangen van de entiteit, alsmede de vertrouwelijkheid van de verstrekte informatie.
- Wanneer publieke bewustmaking nodig is om een significant incident te voorkomen of een lopend incident aan te pakken, of wanneer de bekendmaking van het significante incident anderszins in het algemeen belang is, kunnen het CSIRT van een lidstaat of, indien van toepassing, zijn bevoegde autoriteit, en in voorkomend geval de CSIRT’s of de bevoegde autoriteiten van andere betrokken lidstaten, na raadpleging van de betrokken entiteit, het publiek over het significante incident informeren of van de entiteit verlangen dat zij dit doet.
- Op verzoek van het CSIRT of de bevoegde autoriteit stuurt het centrale contactpunt de op grond van lid 1 ontvangen meldingen door naar de centrale contactpunten van de andere betrokken lidstaten.
- Het centrale contactpunt dient om de drie maanden bij ENISA een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen en bijna-incidenten die overeenkomstig lid 1 van dit artikel en overeenkomstig artikel 30 zijn gemeld. Om bij te dragen tot het verstrekken van vergelijkbare informatie kan ENISA technische richtsnoeren vaststellen over de parameters van de informatie die in het samenvattend verslag moet worden opgenomen. ENISA stelt de samenwerkingsgroep en het CSIRT-netwerk om de zes maanden in kennis van zijn bevindingen over de ontvangen meldingen.
- De CSIRT’s of, indien van toepassing, de bevoegde autoriteiten verstrekken de uit hoofde van Richtlijn (EU) 2022/2557 bevoegde autoriteiten informatie over significante incidenten, en cyberdreigingen en bijna-incidenten die overeenkomstig lid 1 van dit artikel en overeenkomstig artikel 30 zijn gemeld door entiteiten die uit hoofde van Richtlijn (EU) 2022/2557 zijn aangemerkt als kritieke entiteiten.
- De Commissie kan uitvoeringshandelingen vaststellen waarin het soort informatie, het format en de procedure van een op grond van lid 1 van dit artikel en op grond van artikel 30 ingediende melding en van een op grond van lid 2 van dit artikel gedane mededeling nader worden gespecificeerd.
Uiterlijk op 17 oktober 2024 stelt de Commissie met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsook aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, uitvoeringshandelingen vast waarin nader wordt gespecificeerd in welke gevallen een incident als significant wordt beschouwd als bedoeld in lid 3. De Commissie kan dergelijke uitvoeringshandelingen vaststellen met betrekking tot andere essentiële en belangrijke entiteiten.
De Commissie wisselt advies uit en werkt samen met de samenwerkingsgroep rond de in de eerste en tweede alinea van dit artikel bedoelde ontwerpuitvoeringshandelingen overeenkomstig artikel 14, lid 4, punt e).
Die uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 39, lid 2, bedoelde onderzoeksprocedure.
- Elke lidstaat zorgt ervoor dat essentiële en belangrijke entiteiten elk incident dat aanzienlijke gevolgen heeft voor de verlening van hun diensten als bedoeld in lid 3 (significant incident) meldt bij zijn CSIRT of, indien van toepassing, zijn bevoegde autoriteit overeenkomstig lid 4. In voorkomend geval stellen de betrokken entiteiten de ontvangers van hun diensten onverwijld in kennis van significante incidenten die een nadelige invloed kunnen hebben op de verlening van die diensten. Elke lidstaat zorgt ervoor dat die entiteiten onder meer alle informatie rapporteren die het CSIRT of, indien van toepassing, de bevoegde autoriteit in staat stelt om eventuele grensoverschrijdende gevolgen van het incident te bepalen. Melding leidt niet tot blootstelling van de entiteit aan een verhoogde aansprakelijkheid.
Lid 1 is helder over voor welke incidenten een entiteit actie moet ondernemen. In leden 4 tot en met 8 staat uitgelegd welke procedure de entiteiten en het CSIRT moeten volgen op een incident, een eerste melding en reacties erop. Omdat in lid 1 specifiek staat dat de melding niet leidt tot blootstelling van de entiteit aan verhoogde aansprakelijkheid, is de vraag in hoeverre deze bepaling op een individu betrekking zou kunnen hebben. Alsnog staat het individuen vrij om hun lidstaat hier zoveel mogelijk toe te bewegen. Lid 2 gaat over de verplicht te vermelden maatregelen aan de ontvangers van diensten die door een cyberaanval of -dreiging worden getroffen. Hieraan kunnen particulieren een recht ontlenen. Lid 3 legt uit wat significantie van de incidenten in de zin van lid 1 en 2, wat de plicht verheldert.
Leden 9 en 10 bevatten heldere verplichtingen voor het centrale contactpunt, respectievelijk CSIRTs, maar ook hierbij is de vraag wat de betrekking gaat zijn voor een individu, wanneer niet gerapporteerd is. Het individuele belang is hier minder mee gediend. Lid 11 heeft geen rechtstreekse werking, omdat geen rechten aan individuen toekomen op een uitvoeringshandeling; dit is een prerogatief van de Europese Commissie, naleving ervan vindt plaats via de EU-instellingen.
Richtlijnconform interpreteren en regelgeven.
Een andere optie is om na 17 oktober 2024 de Wbni conform de NIS2 Richtlijn te interpreteren. Onder bijvoorbeeld de term “vitale aanbieder” uit artikel 1 Wbni kan de gemeente overheidsinstanties verstaan die als belangrijk of essentieel aan te merken zijn volgens de maatstaven van de NIS2. De evenredige technische en organisatorische maatregelen om risico’s te beheersen uit artikel 7 en 8 Wbni kunnen decentrale overheden conform artikel 21 NIS2 interpreteren; dit geldt vergelijkbaar voor de meldplicht uit artikel 10 tot en met 14 Wbni in het kader van artikel 23 NIS2. Overweging 17 uit de preambule bij de NIS2 geeft hier ook richting om aanbieders van essentiële diensten als essentiële entiteiten onder de NIS2 aan te merken.
De Nederlandse overheid zelf geeft het advies aan organisaties om de inhoudelijke verplichtingen vooral na te leven omwille van de cyberveiligheid, vooruitlopend op een nieuwe wet. Zie bijvoorbeeld de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Hiertoe mag de overheid (gezien het bovenstaande) private organisaties uiteraard niet dwingen, noch bij gebreke aan naleving van de NIS2 verplichtingen hierop handhaven. Voor gemeenten en overige decentrale overheden geldt die naleefaanmoediging des te sterker uiteraard.
Conclusie
Uit de analyses van artikel 21 en 23 van de NIS2 valt te concluderen dat decentrale overheden na 17 oktober 2024 deze artikelen kunnen en mogen naleven. Verder trekken wij de conclusie dat die artikelen hoogstens tot garanderen van rechten voor particulieren leiden, niet tot het opleggen van plichten aan hen. Artikel 21 lid 1 samen met lid 2 sub b, c, d, e, g, i en j NIS2 kan bovendien rechtstreeks werken op particulieren, wat betekent dat zij zich hierop jegens de gemeente zouden kunnen beroepen.
Ook al weet de Nederlandse overheid mogelijk geen omzetting te bereiken binnen de verplichte termijn, kunnen en mogen gemeentes hoe dan ook beginnen met het treffen van risicobeheersmaatregelen voor cyberdreigingen en het rapporteren van dreigingen of inbreuken aan de landelijke CSIRT. Gezien Von Colson & Kamann zouden wij zelfs zeggen dat de gemeentes en andere decentrale overheden hiertoe verplicht zijn.
Constateert de gemeente dat zij (bijvoorbeeld wettelijk gezien) geheel afhankelijk is van de acties die de centrale overheid neemt en dus zelf weinig tot niets kan of mag ondernemen, dan blijft de bal hiervoor bij de centrale overheid liggen. Hiervoor adviseren wij om duidelijk overleg te voeren met het ministerie van Justitie en Veiligheid (JenV). Vervolgens, over de specifieke invulling van nadere regels, achten wij het voor elke decentrale overheid verstandig om binnen de koepels (VNG, UvW, dan wel IPO) contact te houden.
Meer informatie
Tijdlijn digitalisering, Kenniscentrum Europa Decentraal
Cyberveiligheid, onderwerppagina Kenniscentrum Europa Decentraal.
Uitleg over NIS2, Rijksoverheid op Digitale Overheid.
NIS2 Zelfevaluatie vragenlijst door Rijksdienst voor Ondernemend Nederland.