Nieuwe Europese wetgeving voor cyberveiligheid is aangenomen of aanstaande. Een van die wetten is NIS2 (de Network Information Security-2-richtlijn). Wat houdt die in en wat zijn de verplichtingen voor bestuurders?
In de afgelopen artikelen besteden we aandacht aan de verschillende facetten van het ambitieuze plan van de Europese Unie voor een digitaal decennium (digital decade). Het digitaal decennium gaat over een visie op een digitale maatschappij met een menselijke maat en veel nieuwe en vernieuwde stukken wetgeving. In dit artikel gaan we in op de (hernieuwde) cyberbeveiligingsrichtlijn.
Network Information Security (NIS) en het grotere geheel
De Network Information Security 2-richtlijn (hierna: de NIS2) is 17 oktober van dit jaar van kracht gegaan. De NIS2 is de Europese wetgeving voor cyberveiligheid. Het doel is het verbeteren van de digitale weerbaarheid van bedrijven. In januari 2023 startte de implementatietermijn van 21 maanden om de richtlijn om te zetten naar nationale wetgeving. Nederland heeft de deadline niet gehaald. Sinds 17 oktober van dit jaar is de NIS2 zelf wel officieel van kracht.
De Cyberbeveiligingswet (de naam van de Nederlandse implementatiewet van de NIS2) wordt waarschijnlijk pas eind 2025 van kracht, of misschien zelfs pas begin 2026. Zolang de nationale wet niet van kracht is hoeven organisaties niet aan de verplichtingen te voldoen, maar kunnen ze wel gebruik maken van de rechten die de NIS2 verleent. Wat houdt die wet in? De NIS2 stelt meer eisen, onder meer aan bestuurders. In dit artikel ga ik dieper in op deze richtlijn en de verplichtingen met betrekking tot het bestuur.
Arnoud Engelfriet had het in een eerder artikel ook al over de NIS2. Daarin kwam vooral naar voren dat ‘Cyber en weerbaarheid’ een van de acht hoofdthema’s is van de Digital Decade. De NIS2 is namelijk onderdeel van het wetgevingsprogramma dat door de EU is opgetuigd. De EU heeft om de fysieke, digitale en economische weerbaarheid van Europese lidstaten ten aanzien van deze dreigingen te versterken eind 2022 twee richtlijnen aangenomen; de Critical Entities Resilience Directive(CER)en de Network and Information Security Directive (NIS2). De CER zich focust zich op fysieke veiligheid en de NIS2 op digitale veiligheid.
De NIS2 in het kort
De NIS2 heeft als doel het verbeteren van de digitale weerbaarheid van bedrijven en organisaties binnen de Europese lidstaten. Deze wetgeving moet leiden tot een hoger niveau van informatiebeveiliging en cyberveiligheid bij private en publieke organisaties. De voorloper van de NIS2 is in Nederland in 2016 geïmplementeerd, in de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Deze eerdere richtlijn stond bekend als de NIS- of NIB-richtlijn. Als er verwezen wordt naar de nieuwe richtlijn, dan wordt vaak nog steeds ‘NIS’ gebruikt (en de afkorting is dus de NIS2). In de titel van de nieuwe richtlijn staat echter geen specifieke verwijzing meer naar Network and Information Security. In de Nederlandse vertaling staat nu: “maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging”. In Nederland wordt de NIS2 omgezet naar nationale wetgeving, de Cyberbeveiligingswet.
Voor wie is het van toepassing?
Het aantal organisaties dat onder de NIS2 valt is toegenomen. De sector Overheid was bijvoorbeeld nog geen sector onder de eerste NIS-richtlijn, maar valt nu wel binnen de reikwijdte van de NIS2.
De sectoren die onder de richtlijn vallen zijn benoemd in bijlage I en II van de NIS2, denk behalve de overheid aan energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drink- en afvalwater, en nog meer. Om onder de richtlijn te vallen moet de organisatie ook aan de randvoorwaarden voldoen. Die voorwaarden zien toe op de grootte (hoeveelheid mensen) en de jaaromzet of -balans van een organisatie.
Afzonderlijk van deze voorwaarden kan een organisatie (ook kleine organisatie) die aangewezen wordt als ‘kritiek’, alsnog onder de NIS2 vallen. Op onze website vind je meer informatie met betrekking tot de reikwijdte en toepassing van de NIS2.
Rol bestuurders
Naast het feit dat de reikwijdte van de richtlijn is uitgebreid, stelt de richtlijn ook striktere eisen voor het melden van beveiligingsincidenten. Organisaties zijn namelijk verplicht om incidenten binnen een bepaalde termijn te rapporteren. In de richtlijn zijn ook sancties en boetes beschreven voor organisaties die niet voldoen aan de (beveiligings)eisen die in de richtlijn beschreven staan, maar wel onder de richtlijn vallen.
Bestuurders zijn verantwoordelijk voor het implementeren van de noodzakelijke maatregelen en voor de cyberveiligheid van hun organisatie. De Europese wetgever wil met de NIS2 namelijk een actieve bijdrage van het bestuur bereiken. Maar wat betekent dit concreet? Volgens de NIS2 heeft een bestuurder meerdere verantwoordelijkheden op gebied van cyberbeveiliging. Bestuurders hebben onder andere de volgende taken:
- Betrokkenheid – Betrokken zijn bij het ontwikkelen van een strategie voor informatiebeveiliging die past bij de doelstellingen en het risicoprofiel van de organisatie.
- Verantwoordelijkheid – Verantwoordelijkheid dragen voor het maken van strategische keuzes met betrekking tot investeringen in beveiligingsmaatregelen, technologie en personeel.
- Zorgplicht – Toezien op en het nemen van beveiligingsmaatregelen. Bestuurders kunnen aansprakelijk worden gesteld op het moment dat er inbreuk wordt gemaakt op deze zorgplicht, dus als er niet aan wordt voldaan.
- Bewust zijn van de risico’s – Bestuurders moeten de risico’s van de organisatie kennen. In de NIS2 staat “het identificeren en het beheersen van risico’s op het gebied van cyberbeveiliging” expliciet genoemd als taak voor bestuurders.
De verwachtingen van de NIS2-rol van bestuurders
Vaak is informatiebeveiliging niet de expertise van een bestuurder en dat is logisch. Het wordt ook niet verwacht dat een bestuurder ineens een technische expert wordt. Een bestuurder moet wél voldoende kennis hebben over informatiebeveiliging om het gesprek aan te gaan met de medewerkers die hierover gaan en op de hoogte zijn van de risico’s. Daarnaast is het essentieel dat het bestuur een cultuur ontwikkelt waarin het belang van informatiebeveiliging binnen de organisatie wordt erkend, en die medewerkers stimuleert om het informatiebeveiligingsbeleid en de bijbehorende documenten na te leven.
De NIS2 verplicht ook dat bestuurders een cyberopleiding gaan volgen. Hoe deze opleiding er precies uit moet komen te zien is nog niet duidelijk. Wat we al wel weten is dat in deze opleiding de volgende onderwerpen aan bod moeten komen:
- De basisbeginselen van informatiebeveiliging,
- Welke dreigingen er zijn en;
- Waarom informatiebeveiliging belangrijk is.
Ook is er in de concept-Cyberbeveiligingswet opgenomen dat de opleiding binnen twee jaar na het van kracht gaan van de Cyberbeveiligingswet aantoonbaar gevolgd moet worden. Kortom, de NIS2 benadrukt dat cyberbeveiliging niet alleen een technische kwestie is, maar ook een strategische prioriteit die actief moet worden geleid door het bestuur.
Een slag om de arm
Aangezien de Cyberbeveiligingswet nog officieel goedgekeurd moet worden, kan er inhoudelijk nog het een en ander veranderen. Naar verwachting zullen dit geen grote wijzigingen zijn.
De NIS2 is een geharmoniseerde richtlijn. Een richtlijn is één van de vormen waarin je wetgeving kan gieten. Bij een richtlijn moeten lidstaten minimaal de inhoud overnemen en mogen lidstaten zelf ook meer eisen toevoegen. Momenteel werkt het Ministerie van Justitie en Veiligheid samen met andere betrokken departementen aan de Algemene Maatregel(en) van Bestuur (een regeling die door de regering wordt vastgesteld en die de uitvoering van bestaande wetten verder verduidelijkt of aanvult). Dit doen ze voor verdere uitwerking van de Cyberbeveiligingswet.
Het wordt verwacht dat rond december de Algemene Maatregel van Bestuur in concept bekend wordt en dat er dan een internetconsultatie plaatsvindt. Daarna zal de Cyberbeveiligingswet in combinatie met de Algemene Maatregel(en) van Bestuur aangeboden worden aan het Parlement voor de wetsbehandeling. Pas wanneer dat proces rond is en de wet is aangenomen zullen we weten dat de definitieve tekst van de Cyberbeveiligingswet zal zijn.
Aan de slag
Wellicht moet jouw organisatie ook voldoen aan de NIS2. Weet je dit nog niet zeker, raadpleeg dan onze cheatsheet (pdf). Als je organisatie al gecertificeerd is voor de ISO 27001 of de NEN 7510, voldoe je waarschijnlijk al aan veel maatregelen die ook in de NIS2 genomen moeten worden.
Let op! Een certificering voor ISO 27001 of NEN 7510 betekent niet dat je automatisch ook aan de NIS2 voldoet. Wil je weten in hoeverre je al voldoet? Dan is een 0-meting of een GAP-analyse een goede optie. Dit geeft de organisatie een duidelijk beeld wat er nog gedaan moet worden om aan de NIS2 te voldoen.
Weet jij al of de NIS2 op jouw organisatie van toepassing is? Moet jij de NIS2 nog implementeren of wil jij weten wat er nog moet gebeuren? Wij helpen jou graag om hiermee aan de slag te gaan.
