NIS2: Steeds uitgebreidere wet- en regelgeving rondom cybersecurity

NIS2 Richtlijn: actie vereist

Cybersecurity wordt steeds meer onderwerp van wet-en regelgeving. Zo ook via Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (de NIS2 Richtlijn), waarvan de tekst eind 2022 gepubliceerd werd (1).

De verantwoordelijk minister heeft aangegeven dat Nederland de deadline voor de implementatie van de NIS2 Richtlijn (17 oktober 2024) niet haalt. Desalniettemin adviseren we ondernemingen om ruim voor deze datum in actie te komen. Gezien de verbrede reikwijdte, vernieuwde normen en verzwaarde sancties heeft een groot deel van de overheid en het bedrijfsleven hiermee te maken. Organisaties die zelf gereguleerd worden zullen in ieder geval tijdig beveiligingsmaatregelen willen nemen. Maar de NIS2 Richtlijn heeft ook gevolgen voor toeleveringsketens. Daarom is het voor zowel gereguleerde ondernemingen als hun handelspartners belangrijk om goede contractuele afspraken te maken. Dat lichten we hieronder toe.

Bestaande wet- en regelgeving

De NIS2 Richtlijn vervangt de huidige NIS-richtlijn, die uit 2016 stamt en op 9 mei 2018 in Nederland werd geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni)(2). De Wbni reguleert momenteel “aanbieders van essentiële diensten” zoals zorgbedrijven, energiebedrijven, vervoersbedrijven en financiële instellingen, en “digitale dienstverleners”, zoals onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten. Onder de bestaande wetgeving hebben aanbieders van essentiële diensten en digitale dienstverleners al twee belangrijke verplichtingen: zij moeten passende en evenredige beveiligingsmaatregelen nemen, en incidenten die aanzienlijke gevolgen kunnen hebben melden aan het Computer Security Incident Response Team (CSIRT, opgericht door het Ministerie van Economische Zaken en Klimaat) en een bevoegde sectorale autoriteit.

Uitbreidingen door de NIS2 Richtlijn

Ondanks de relatief recente implementatie van de eerste NIS Richtlijn vragen technische ontwikkelingen en het toegenomen maatschappelijke belang van digitale systemen volgens de Europese Unie om een uitbreiding van de wet- en regelgeving. De NIS2 Richtlijn regelt dit op meerdere vlakken.

Ten eerste wordt het toepassingsbereik van de wetgeving verbreed. Ondernemingen in sectoren zoals post- en koeriersdiensten, chemie, levensmiddelen, afvalstoffenbeheer, telecom, ICT-diensten, en de centrale en provinciale overheden vallen binnen de reikwijdte van de richtlijn. De richtlijn zal van toepassing zijn op middelgrote en grote ondernemingen binnen deze sectoren. Daarbij wordt het onderscheid tussen aanbieders van essentiële diensten en digitale dienstverleners vervangen door twee categorieën, te weten “essentiële ondernemingen” waarop doorlopend toezicht plaatsvindt, en “belangrijke ondernemingen” die onderworpen zijn aan toezicht achteraf.

Ten tweede worden de bestaande beveiligings- en meldplichten verzwaard. Onder meer wordt het aantal aspecten waar de beveiligingsmaatregelen aan moeten voldoen uitgebreid, zoals met de beveiliging van de toeleveringsketen, beleid en procedures inzake het gebruik van cryptografie en encryptie, het gebruik van multi-factorauthenticatie- of continue-authenticatieoplossingen, beveiligde spraak- video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de gereguleerde entiteit.

Toepassing en sancties

Als gevolg van deze uitbreidingen wordt de naleving van de beveiligings- en meldplichten steeds belangrijker. Van steeds meer ondernemingen wordt verwacht dat zij cybersecurityrisico’s rondom hun werkzaamheden of diensten verdergaand beheersen, en zo incidenten voorkomen en de gevolgen van incidenten voor de afnemers van hun diensten beperken. Ook de melding van incidenten wordt verder gestandaardiseerd.

Het belang van de naleving volgt ook uit de toepasselijke sancties. Indien essentiële ondernemingen onvoldoende beveiligingsmaatregelen nemen of hun meldplicht bij incidenten niet nakomen lopen zij het risico op onder meer aanzienlijke boetes. Lidstaten die de NIS2 Richtlijn implementeren moeten deze boetes stellen op minimaal EUR 10 miljoen, of 2% van de totale wereldwijde omzet, afhankelijk van welk bedrag hoger is. Dergelijke sancties zijn zwaarder dan de sancties voor overtredingen van de huidige Wbni, waaronder een boete van maximaal EUR 5 miljoen mogelijk is.

Actie is aanbevolen

We adviseren om ruim voor de implementatie te onderzoeken wat de NIS2 Richtlijn voor jullie onderneming betekent. Ondernemingen kunnen niet alleen binnen het directe toepassingsbereik vallen, maar ook indirect betrokken zijn als toeleverancier van de gereguleerde ondernemingen.

Toeleveringsketens zijn belangrijk omdat cybercriminelen vaak gebruik maken van de zwakste schakel in de IT-beveiliging. Ondernemingen die hun eigen cybersecurity op orde hebben kunnen alsnog kwetsbaar zijn door de inzet van minder goed beveiligde leveranciers. De NIS2 Richtlijn benoemt expliciet het belang van toeleveringsketens, en het wezenlijke risico van zogeheten supply chain attacks. Vanuit toezicht op Europees niveau zal daarom ook aandacht worden besteed aan toeleveringsketens, bijvoorbeeld door het uitvoeren van cybersecurity assessments.

Gelet hierop adviseren we gereguleerde ondernemingen en entiteiten binnen toeleveringsketens om goede contractuele afspraken te maken. Deze moeten in ieder geval zien op de diverse technische, organisatorische en operationele maatregelen om beveiligingsrisico’s te beheersen. Daarnaast verdient het aanbeveling om afspraken te maken over snelle informatieuitwisseling, ook zodat gereguleerde entiteiten tijdig beveiligingsincidenten kunnen melden bij de relevante toezichthouder.

(1) https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022L2555&from=EN

(2) https://wetten.overheid.nl/BWBR0041515/2022-12-01