Coauteur: Kors Monster
Afgelopen dinsdag ging eindelijk de internetconsultatie voor de implementatie van de NIS2 richtlijn (hierna NIS2), de Cyberbeveiligingswet, van start. Iedereen mag tot 1 juli feedback geven. Dit is nog de conceptversie van de wet, maar geeft ons al wel inzicht wat de uiteindelijke wet zal worden. Via dit blog delen wij onze eerste bevindingen, waarbij we focussen op governance, de zorgplicht en de meldplicht.
Eerst meer lezen over NIS2? Lees meer in een van onze eerdere blogs of pak ons NIS2 Cheat sheet erbij.
De essentie van een Europese Richtlijn is dat de minimale verplichtingen overgenomen moet worden door de lidstaat. Nederland mag de Cyberbeveiligingswet dus niet versoepelen ten opzichte van de NIS2, maar mag een en ander wel strenger en specifieker maken. Het is dan ook niet verwonderlijk dat de Cyberbeveiligingswet op veel punten een kopie is van de NIS2.
Wat opvalt is dat in veel artikelen is opgenomen dat specifiekere regels uitgewerkt moeten worden door middel van een Algemene Maatregel van Bestuur (AMvB). AMvB’s geven de regering de mogelijkheid om binnen de kaders van de Cyberbeveiligingswet nadere regels uit te werken. Denk bijvoorbeeld aan sectorspecifieke drempelwaarden voor het melden van beveiligingsincidenten. Echter: het leidt er ook toe dat organisaties die aan de Cyberbeveiligingswet moeten gaan voldoen, nog steeds niet precies weten aan welke regels ze zich moeten gaan houden. Kortom: de duidelijkheid waar veel mensen al een tijd naar op zoek zijn, zal deels nog langer op zich moeten laten wachten.
De NIS2 stelde al dat bestuurlijke organen verantwoordelijk zijn voor het toepassen en uitvoeren van beheersmaatregelen en dat zij een opleiding moet volgen. In de richtlijn werd ruimte gelaten aan de lidstaten voor de precieze invulling van deze verplichting. De Cyberbeveiligingswet leert ons nu wat er met een ‘bestuurlijk orgaan’ bedoeld wordt en wat er behandeld moet worden in een opleiding voor bestuurders.
Uit het wetsvoorstel blijkt dat met een ‘bestuurlijk orgaan’ niet gedoeld wordt op een ‘bestuursorgaan’ in de zin van de Algemene wet bestuursrecht, maar dat het gaat om het bestuur van een organisatie. Het gaat dus om het hoogste leidinggevende orgaan binnen de organisatie. Voor provincies, gemeenten en waterschappen wordt gespecificeerd dat het om de ambtelijke leiding gaat.
Vanuit NIS2 wisten we al dat bestuurders een opleiding moeten volgen. De Cyberbeveiligingswet beschrijft in meer detail welke zaken in de opleiding aan bod moeten komen.
De Cyberbeveiligingswet stelt dat ieder lid van het bestuur over kennis en vaardigheden moet beschikken om risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen identificeren en te kunnen beoordelen. Ook moeten zij in staat zijn om de gevolgen van de risico’s en de maatregelen te kunnen beoordelen.
Bestuurders moeten kunnen aantonen dat zij een opleiding hebben gevolgd. Dit kan bijvoorbeeld door een certificaat van deelname, met daarin beschreven welke onderwerpen zijn behandeld. Via een AMvB kunnen er regels worden gesteld over de training, waaronder de duur en het niveau.
De belangrijkste plicht die uit NIS2 en de Cyberbeveiligingswet voortvloeit laat zich samenvatten als de zorgplicht. Dit houdt kort gezegd in dat organisaties ervoor moeten zorgen dat zij beveiligingsmaatregelen moeten treffen, afgestemd op de risico’s die voor hen relevant zijn.
De Cyberbeveiligingswet is op dit punt grotendeels een kopie van NIS2, waarbij echter op verschillende punten de mogelijkheid wordt gecreëerd om via een AMvB nadere regels te stellen. Zo kunnen bijvoorbeeld bepaalde normenkaders naar voren worden geschoven voor bepaalde sectoren. Denk daarbij aan NEN 7510 voor de zorgsector en de BIO voor de overheid.
NIS2 bevatte naast de algemene zorgplicht ook een aantal specifieke maatregelen waarmee invulling moet worden gegeven aan de zorgplicht. Deze maatregelen komen erg bekend voor, bij degenen die bekend zijn met normenkaders zoals ISO27001, NEN 7510 en de BIO. De Cyberbeveiligingswet voegt daaraan toe dat (je raad het nooit!) deze maatregelen verder uitgewerkt kunnen worden via AMvB’s.
De meldplicht uit NIS2 en de Cyberbeveiligingswet houdt kort gezegd in dat organisaties significante incidenten moet melden bij daartoe aangewezen instanties.
Ten aanzien van het proces rond het melden van incidenten volgt de Cyberbeveiligingswet de NIS2. De Cyberbeveiligingswet schept de mogelijkheid om via een AMvB weer sectorspecifieke regels te stellen om bijvoorbeeld de parameters van een significant cyberincident verder uit te werken. Er komt bijvoorbeeld ook een AMvB waarin de regels verder uitgewerkt worden over welke medeplichtige incidenten er zijn per sector, subsector of soort entiteit.
Wat opvallend is, is dat er een dubbele meldplicht komt. Organisaties moeten niet alleen het incident melden bij hun Cyber Security Incident Response Teams (CSIRTs), maar ook bij de toezichthoudende instantie. Dit is ook om de functies van beide gescheiden te houden. Dit valt op omdat de NIS2 erop leek aan te sturen dat op een enkelvoudige meldplicht: ofwel aan het CSIRT, ofwel aan de toezichthouder. Wel wordt ernaar gestreefd om het technisch zo in te richten dat er maar één handeling van de organisatie nodig is om de benodigde informatie te verspreiden. Hoe dit zich gaat vertalen naar de praktijk, zal nog moeten blijken.
Ondanks dat een hoop details nog ingevuld zullen gaan worden via AMvB’s, is één ding zeker: organisaties kunnen aan de slag met de implementatie van de NIS2/Cyberbeveiligingswet. De inwerkingtreding van de Cyberbeveiligingswet is nog niet bekend, verwacht wordt dat dit in het tweede of derde kwartaal van 2025 zal zijn. Organisaties zullen dan ook verplicht zijn om aan de wet te voldoen.
Ben jij een bestuurder? Wil je voldoen aan de opleidingsvereiste uit de wet? Of ben jij iemand die binnen de organisatie zich veel bezighoudt met informatiebeveiliging? Wil je weten hoe je de Cyberbeveiligingswet nou toepast in de praktijk? Bekijk dan onze opleiding tot Cyber Compliance Officer en schrijf je in. De eerste ronde van deze opleiding gaat in augustus van start en de eerste praktijk dag is op woensdag 11 september.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.