17 juni 2024

Cybersecurity

Gemeenten

Foto: Gemeentehuis van Deventer, door PeHa, via Wikimedia Commons

De NIS2-richtlijn is een update van de NIS-richtlijn. NIS2 stelt strengere eisen aan de beveiliging van netwerken en informatiesystemen van essentiële en belangrijke entiteiten in bepaalde sectoren. Kort samengevat bevat de NIS2-richtlijn een zorgplicht, op grond waarvan entiteiten zelf een risicobeoordeling dienen uit te voeren en passende maatregelen dienen te nemen om de continuïteit van diensten zoveel mogelijk te waarborgen en netwerk- en informatiesystemen te beschermen.

Daarnaast geldt er een meldplicht van incidenten en zal er een onafhankelijke toezichthouder worden aangewezen. NIS2 is van toepassing naast bijvoorbeeld de beveiligingsverplichting in de Algemene Verordening Gegevensbescherming (‘AVG’). Waar de AVG ziet op bescherming van persoonsgegevens, legt NIS2 de nadruk op de continuïteit van essentiële diensten.

Voor de sector overheidsdiensten zal de Rijksinspectie voor Digitale Infrastructuur (RDI) toezicht houden op het stelsel van informatieveiligheid.

Reikwijdte

Uit het wetsvoorstel voor de Cyberbeveiligingswet blijkt dat de wetgever voornemens is om decentrale overheden, waaronder gemeenten, waterschappen en provincies onder de reikwijdte van de NIS2-richtlijn te laten vallen en als essentiële entiteiten aan te merken. Gemeenschappelijke regelingen en zelfstandige bestuursorganen zullen veelal eveneens onder de onder de reikwijdte vallen.

Overheidsinstanties die in de hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, vallen niet onder de richtlijn.

Baseline Informatiebeveiliging Overheid

Veel verplichtingen die de NIS2-richtlijn en de Cyberbeveiligingswet opleggen, zijn al van toepassing op lokale overheden via andere wettelijke kaders. De wijze waarop overheden aan deze beveiligingsverplichtingen voldoen is uitgewerkt in de Baseline Informatiebeveiliging Overheid (BIO). Er wordt nu gewerkt aan een vernieuwde versie van de BIO, BIO 2.0, onder andere om de nieuwe verplichtingen die voortvloeien uit de richtlijn en de Cyberbeveiligingswet daarin te verankeren.

Inmiddels is ook een mapping gemaakt door de werkgroep BIO om aan te geven in hoeverre de NIS2-maatregelen zich verhouden tot de huidige BIO. Deze is hier te raadplegen.

Tot slot

Het wetsvoorstel voor de Cyberbeveiligingswet zoals die nu ter internetconsulatie is gelegd, is via deze link te raadplegen. Tot 1 juli bestaat de mogelijkheid om op het wetsvoorstel te reageren.

Hoewel het nog wel even kan duren voordat de Cyberbeveiligingswet van toepassing is, is het verstandig op tijd te beginnen met het treffen van maatregelen ter bescherming van de beveiliging en continuïteit van eigen werkprocessen.

Over de auteurs

  • Jan Baas

    Jan is sinds 1997 advocaat en sinds 2021 verbonden aan La Gro. Hij voert een brede commerciële advies- en procespraktijk. Zijn zaken spelen zich af op het snijvlak van privaatrecht en publiekrecht, met als focusgebieden bescherming van persoonsgegevens (privacy), bestuursrecht en omgevingsrecht, schaarse vergunningen en commerciële contracten.

    La Gro

  • Jan Baas

    Jan is sinds 1997 advocaat en sinds 2021 verbonden aan La Gro. Hij voert een brede commerciële advies- en procespraktijk. Zijn zaken spelen zich af op het snijvlak van privaatrecht en publiekrecht, met als focusgebieden bescherming van persoonsgegevens (privacy), bestuursrecht en omgevingsrecht, schaarse vergunningen en commerciële contracten.

    La Gro

Gerelateerd nieuws

Omstreden Chat Control-wet wederom op agenda Raad van Europa

De controversiële chat control-wetgeving staat weer op de agenda van de Raad van Europa. Onder het Hongaarse voorzitterschap wordt op 4 september 2024 gewerkt aan uitwerking van de wetstekst. De wetgeving, die voorziet in de massale controle en scanning van privécommunicatie, wordt door veel privacy- en mensenrechtenorganisaties als een bedreiging gezien voor de fundamentele rechten van burgers. Eerder dit jaar werd het wetsvoorstel, mogelijk na aanleiding van hevige kritiek plots van de agenda afgehaald. De Raad werkt nu aan een herziene versie, maar experts blijven kritisch.

Data & Privacy

Meta op het matje geroepen voor informatie over betaalde accounts

Meta werd deze zomer aangesproken door de Europese consumententoezichthouders, waar ook onze ACM deel van uit maakt. De reden is dat Meta onduidelijke en onvolledige informatie verstrekt over het aangaan van een betaald of ‘gratis’ account. Zo kan een gebruiker de gevolgen van die keuze niet goed beoordelen. Ook wordt druk uitgeoefend om een keuze te maken. Hier wordt Meta dus niet aangesproken op een schending van privacy, maar op een oneerlijke handelspraktijk uit het consumentenrecht.

Data & Privacy

Hoe ga je als privacy professional om met risico’s?

In de vakantie had ik de gelegenheid om het boek De Privacy Paradox te lezen. Het boek houdt de privacy professional een kritische spiegel voor over de wijze waarop de AVG wordt uitgevoerd en hoe met privacyrisico’s wordt omgegaan. Vanuit een andere invalshoek liet Martin van Staveren in een essay in het FD zijn licht schijnen op de wijze waarop in de maatschappij met risico’s wordt om gegaan.

Data & Privacy

AP legt Uber boete op van 290 miljoen euro om doorgifte data chauffeurs naar VS

De Autoriteit Persoonsgegevens (AP) legt Uber een boete op van 290 miljoen euro. De AP heeft geconstateerd dat Uber persoonsgegevens van Europese taxichauffeurs heeft doorgegeven naar de Verenigde Staten (VS) en dat Uber daarbij de gegevens onvoldoende heeft beschermd. Dit is volgens de AP een ernstige overtreding van de Algemene verordening gegevensbescherming (AVG). Inmiddels heeft Uber de overtreding beëindigd.

Data & Privacy

Meer nieuws