Digitalisering maakt ongelofelijk veel mogelijk. Overheden realiseren zich alleen ook dat het – met name essentiële – sectoren kwetsbaar maakt. We zijn als maatschappij afhankelijk geraakt. Om te blijven genieten van de voordelen van de digitale techniek komt er volgend jaar een uitbreiding van de cybersecurity wetgeving, conform de nieuwe NIS 2 richtlijnen.
NIS2 werd bekendgemaakt op 27 december 2022 en ging van kracht op 16 januari 2023. Alle Europese landen hebben tot 17 oktober 2024 de tijd om de richtlijn in hun nationale wetgeving te integreren.
Wat is NIS 2?
NIS is een afkorting voor “Netwerk- en Informatiesystemen”, ook wel bekend als de NIB-richtlijn. In gewone taal betekent dit richtlijnen voor de beveiliging van systemen die cruciaal zijn voor de openbare veiligheid. Omdat de dreigingen toenemen en onze afhankelijkheid van digitale systemen groeit, wordt de huidige NIS-richtlijn (uit 2016) vervangen door NIS2.
Wbni: heeft dat nog iets met NIS te maken?
Na de goedkeuring van de NIS-richtlijn in 2016 hadden EU-landen twee jaar de tijd om dit in hun eigen wetgeving te implementeren. De manier waarop was flexibel. In Nederland vertaalde dit zich naar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), die sinds 9 november 2018 van kracht is. De afgelopen jaren moest deze wet de weerbaarheid van Nederland tegen cyberaanvallen vergroten.
Maar: nu is er dus de NIS 2.
Het essentiële doel van NIS 2
Cyberaanvallen hoeven geen grenzen te kennen: die kunnen reiken tot heel de Benelux, Europa of zelfs de wereld. Het doel van de wetgeving is het algehele cybersecurity niveau binnen de EU naar een nog hogere en veiligere standaard dan de NIS uit 2016 te tillen.
De focus ligt hierbij op de essentiële/vitale sectoren en infrastructuren. Als deze stoppen of problemen krijgen, kan dit grote problemen veroorzaken en zelfs gevaarlijk zijn voor de samenleving. Denk bijvoorbeeld aan: elektriciteit, internettoegang, drinkwater en betalingen.
Wat houdt NIS 2 voor mij in?
Als het om wetgeving gaat, is het altijd ingewikkeld het fijne ervan boven tafel te krijgen. Maar: we hebben ons best gedaan. We geven een overzicht van antwoorden op de belangrijkste vragen. Want voor welke sectoren geldt de wetgeving? En wat valt onder de eisen?
Wie moet aan de wet voldoen?
De wet geldt niet alleen voor grote organisaties, maar ook MKB’ers die werkzaam zijn in een essentiële sector. De lijst van essentiële sectoren is in de NIS 2 uitgebreid ten opzichte van de originele NIS:
Essentiële sectoren: “High Criticality”
1. Energy
2. Transport
3. Banking
4. Financial market infrastructures
5. Health
6. Drinking water
7. Waste water
8. Digital infrastructure (ICT-service management (B2B)
9. Public administration
10. Space
Belangrijke sectoren: “Other Critical Sectors”
1. Postal and courier services
2. Waste management
3. Manufacture, production and distribution of chemicals
4. Food production, processing and distribution
5. Manufacturing
6. Digital providers (online marktplaatsen, social media, search engines)
AED, AAVA en DSP?
In Nederland zijn er twee belangrijke groepen organisaties die als vitaal worden beschouwd: de Aanbieders van een Essentiële Dienst (AED) en de Andere Aangewezen Vitale Aanbieders (AAVA). Maar we zien ook Digital Service Providers (DSP’s) terug in de NIS.
Daarnaast zijn er in Nederland nog andere vitale processen, zoals waterkering, die niet expliciet in de NIS-richtlijn worden vermeld. Deze aanbieders, hoewel vitaal voor Nederland, worden AAVA genoemd omdat ze niet binnen de specifieke sectoren van de richtlijn vallen.
Wat zijn de richtlijnen?
Overkoepelend moeten organisaties zorgdragen dat hun digitale beveiliging is afgestemd op de risico’s die zich voordoen. Thema’s die aan bod komen zijn:
– Preventieve maatregelen tegen incidenten (o.a. door encryptie)
– Incident Detection & Reponse
– Supply chain security
– Bedrijfscontinuïteitsplan
– Risk- & crisis management
– Meldplicht
Voor de volledigheid hieronder een uitgebreider overzicht van de richtlijnen zoals ze nu voorgesteld zijn. We hebben het in zo begrijpelijk mogelijke taal geschreven, zodat u een goed idee krijgt van de verschillen. Maar kijk voor de volledigheid zeker ook even naar de links op deze pagina.
In onderstaand overzicht (klik om uit te vergroten) is ook meteen het verschil met de NIS uit 2016 te zien. Het mag duidelijk dat de NIS 2 een heel stuk uitgebreider is:
Komen er boetes?
Ja, er komen boetes. Hoe precies, en hoe hoog de boetes zijn, mogen de lidstaten zelf bepalen volgens NIS1. NIS2 volgt een soortgelijke benadering, maar beoogt meer duidelijkheid en consistentie in handhaving, vergelijkbaar met AVG boetes. Het doel is strikter toezicht en uniforme boetes tussen lidstaten. Europarlementariër Bart Groothuis is daar helder over: “We willen liever geen boetes uitdelen. Maar als een bestuurder aantoonbaar nalatig is, en keer op keer gewaarschuwd is, dan willen we tanden hebben om te bijten.”
De boetes kunnen hoog zijn. Er is al gevallen dat autoriteiten boetes mogen opleggen van 2% van de jaaromzet, of – afhankelijk van wat het hoogste is – € 10 miljoen. Hieronder een volledig overzicht van de handhaving en sancties rondom NIS2:
Toezicht
Bevoegde autoriteiten zorgen ervoor dat alles volgens de regels gaat en grijpen in als dat nodig is. Bij essentiële entiteiten is er voortdurend toezicht. Voor belangrijke entiteiten wordt toezicht achteraf uitgevoerd bij niet-naleving.
Sancties
De landen (lidstaten) zorgen ervoor dat boetes bij niet-naleving redelijk maar wel effectief zijn. Deze boetes komen bovenop de bindende instructies om verschillen te corrigeren. (De autoriteiten van de landen kunnen dit tijdens hun toezicht aangeven.)
Essentiële entiteiten: Voor essentiële entiteiten zal een administratieve geldboete worden opgelegd in geval van schending van de richtlijn. Deze boete bedraagt minimaal 10.000.000 euro of minimaal 2% van de totale wereldwijde jaaromzet van de onderneming waar de essentiële entiteit toe behoort. Hierbij wordt gekeken welk bedrag hoger is.
Belangrijke entiteiten: Voor belangrijke entiteiten zal een administratieve geldboete worden opgelegd bij schending van de richtlijn. Deze boete bedraagt minimaal 7.000.000 euro of minimaal 1,4% van de totale wereldwijde jaaromzet van de onderneming waar de entiteit toe behoort, ook afhankelijk van welk bedrag hoger is.
Wacht niet af
Ga na welke maatregelen er al zijn genomen binnen uw organisatie en welke nog niet. Kijk of het haalbaar is al aan de richtlijnen te voldoen voordat de wet in werking treedt. De baseline maatregelen maken organisaties direct al minder vatbaar voor cyberaanvallen, dus het is fijn daar zo snel mogelijk van te profiteren.
En valt uw organisatie niet binnen de door de EU gestelde essentiële sectoren? Zie de NIS 2 dan als een kans om te leren en alsnog te verbeteren. De richtlijnen gelden voor essentiële sectoren omdat inbreuk daarop de maatschappij kan ontwrichten. Cyberaanvallen beperken zich alleen niet tot die sectoren: en geen enkele organisatie wil slachtoffer worden.
Cybersecurity partner
Aan de slag met Incident Detection & Response via een SOC? Of andere onderdelen van de NIS 2 laten implementeren zoals krachtige MFA of Encryptie? Neem vrijblijvend contact met ons op, om samen met een cyber security partner deze stappen te zetten.
