Op 21 mei 2024 heeft het Ministerie van Justitie en Veiligheid wetsvoorstellen voor internetconsultatie opengesteld van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Deze voorstellen hebben als doel twee Europese Richtlijnen in de Nederlandse rechtsorde om te zetten, namelijk Richtlijn 2022/2555 over de maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn) en Richtlijn 2022/2557 over de weerbaarheid van kritieke entiteiten (CER-richtlijn).
Waar de NIS2-Richtlijn als belangrijke of essentiële entiteit aangemerkte organisaties verplicht tot het nemen van cyberveiligheidsverhogende maatregelen om risico’s op incidenten te beperken, treft de CER verdergaande maatregelen voor een beperkter aantal zogeheten “kritieke entiteiten”.
NIS2 en cyberweerbare vitale dienstverlening
De NIS2-Richtlijn breidt zowel het toepassingsbereik uit als het aantal en type verplichtingen ten opzichte van voorloper Richtlijn 2016/1148 (NIS1). Met de NIS1-Richtlijn zette de EU de eerste stap naar geharmoniseerde normen voor verhoogde weerbaarheid van vitale infrastructuur en dienstverlening in de lidstaten.
De NIS1 Richtlijn verplichtte lidstaten om aanbieders van diensten via netwerk en informatiesystemen die cruciaal zijn voor instandhouding van kritieke maatschappelijke en/of economische activiteiten te motiveren tot het nemen van cyberveiligheidsrisicobeheersmaatregelen. In 2018 implementeerde Nederland deze Richtlijn in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De nu voorgestelde Cbw zal de Wbni vervangen.
Voorstel: decentrale overheid wordt essentiële entiteit.
De NIS2-Richtlijn heeft in vergelijking met de NIS1-Richtlijn een breder toepassingsbereik gekregen, waaronder overheidsinstanties. De NIS2-Richtlijn laat daarbij de keus aan lidstaten om lokale overheidsinstanties onder de NIS2 te voegen. Het consultatiewetsvoorstel voor de Cyberbeveiligingswet verduidelijkt dat het de wens van het kabinet is om alle decentrale overheden (gemeenten, waterschappen en provincies) als overheidsinstantie en essentiële entiteiten aan te merken onder de NIS2-Richtlijn. Gemeenschappelijke regelingen dienen alsnog onder Bijlage I of II te vallen, en daarnaast als overheidsinstantie te kwalificeren onder artikel 6 punt 35 van de NIS2-Richtlijn.
“Zorg, meld en registreer”
In essentie komt het wetsvoorstel voor de Cbw die de NIS2-Richtlijn zal implementeren neer op vier verplichtingen, inhoudelijk samen te vatten als “zorg, meld en registreer”:
- Zorg voor passende en evenredige technische, operationele en organisatorische maatregelen om risico’s te verminderen op incidenten met netwerk- en informatiesystemen die de decentrale overheid inzet. Hiertoe kan de overheid aansluiten bij bestaande certificeringsregelingen of gecertificeerde entiteiten inzetten.
- Meld en registreer bij het computerbeveiligingsincidentreactieteam (computer security incident response teams of “CSIRT”) elk incident dat de dienstverlening ernstig operationeel kan verstoren en aanzienlijke (im)materiële schade kan veroorzaken. Dit moet op de volgende manieren:
- Binnen 24 uur waarschuwen of het incident vermoedelijk onrechtmatig veroorzaakt is en/of grensoverschrijdende gevolgen zou kunnen hebben. Binnen 72 uur meer informatie melden, zoals ernst en gevolgen van het incident en schade-indicatoren.
- Maximaal één maand na het vorige punt rapporteren met details van oorzaak en gevolg en de ernst ervan, toegepaste maatregelen en eventueel grensoverschrijdende gevolgen.
CER en Wwke
De CER-Richtlijn geeft regels voor lidstaten voor het verhogen van de weerbaarheid van kritieke entiteiten. Hier valt een verplichting onder tot het beperken van alle relevante risico’s (all hazard benadering). Deze risico’s kunnen dus ook een andere oorsprong dan menselijk gedrag hebben. De CER-Richtlijn omvat elf sectoren en geeft een minimum beschermingsniveau. Alle als kritiek aangewezen entiteiten onder de CER-Richtlijn zijn direct ook essentiële entiteiten onder de NIS2-Richtlijn.
De Wwke zal de CER-Richtlijn implementeren in de Nederlandse rechtsorde. De memorie van toelichting bij het ter consultatie voorliggende wetsvoorstel geeft aan dat decentrale overheden buiten de sector overheid vallen uit de Bijlage en als zodanig geen (publieke) kritieke entiteit zijn. Echter, zij kunnen alsnog binnen één van de andere tien sectoren vallen, anders dan de sector overheid.
Inwerkingtreding, omzetting, toepassing
Beide Richtlijnen traden op 17 januari 2023 in werking. Lidstaten hebben tot uiterlijk 17 oktober 2024 om deze om te zetten en moeten de bepalingen ter omzetting van de Richtlijnen vanaf 18 oktober 2024 toepassen. Nederland heeft aangegeven deze termijn niet te kunnen halen en spoort zoveel mogelijk alle organisaties op om zelfstandig te voldoen aan de NIS2.
Raadplegingstermijn
U kunt tot en met 1 juli 2024 reageren op de internetconsultaties van de voorstellen voor de Cbw en de Wwke.
Meer informatie
Consultatie Cbw, Overheid.nl
Consultatie Wwke, Overheid.nl
Congres Let’s Get Digital 3.0: van cyber-incident naar cyber-resistent, 18 juni a.s., Utrecht.
Cyberveiligheid, onderwerppagina Kenniscentrum Europa Decentraal.
NIS2 Richtlijn, via Tijdlijn Digitalisering, Kenniscentrum Europa Decentraal .
