Blog over NIS 2-Richtlijn met afbeelding van Europese vlag
Cybersecuritygeregeld
Opnaar een hoger niveau

Voor onder andere de zorg, de transportsector en dedrinkwatervoorziening golden er al regels voor, maar in de loop van 2024 zullenook bijvoorbeeld bedrijven in de ketens van levensmiddelen, in de chemische- enmaakindustrie, post- en koeriersdiensten en in de ICT op hoog niveau moeten zorgenvoor veiligheid en stabiliteit in hun ICT-voorzieningen.

Op 16 januari 2023 is een richtlijn voor cybersecurity Richtlijn(EU) 2022/2555 ('NIS 2-Richtlijn') in werking getreden ter vervangingvan Richtlijn (EU) 2016/1148. De Richtlijn (EU) 2016/1148 was gebaseerd op art. 114VWEU), dat tot doel heeft de interne markt tot stand te brengen en te latenfunctioneren door de maatregelen voor de onderlinge aanpassing van de nationaleregels te versterken. Met de Richtlijn (EU) 2016/1148 moest tot een hooggemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen inde EU worden gekomen. De NIB 2-Richtlijn creëert nieuwe taken voorautoriteiten en wil een hoog gemeenschappelijk niveau van cyberbeveiligingbinnen de EU.

Wbni
De Richtlijn (EU) 2016/1148 is geïmplementeerd in de Wet beveiliging netwerk-en informatiesystemen (Wbni), gericht op zogenoemde Aanbieders vanEssentiële Diensten (AED's). Daaronder vallen energie, vervoer,bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwateren digitale infrastructuur. Daarnaast vallen digitale dienstverleners (DSP's),zoals aanbieders van onlinemarktplaatsen, onlinezoekmachines en clouddiensten(voor zover zij onder de definities vallen) en overheidsorganisaties dieessentiële diensten aanbieden eronder.

Uit art. 7 lid 1 Wbni volgt dat aanbieders van essentiëlediensten en digitale dienstverleners moeten passende enevenredige technische en organisatorische maatregelen nemen voor de beveiligingvan hun netwerk- en informatiesystemen. Het gaat om de beveiliging vansystemen en voorzieningen, behandeling van incidenten, het beheer van de bedrijfscontinuïteit,toezicht, controle en testen, inachtneming van de internationale normen (art. 7lid 2 Wbni). Die maatregelen moeten naar de stand van de techniek eenbeveiligingsniveau geven dat is afgestemd op voorkomende risico's. Incidentenmoeten worden voorkomen en als die zich toch voordoen, dan moeten de gevolgenzo klein mogelijk blijven (art. 8 Wbni). Art. 10 Wbni bevat een meldingsplichtvoor vitale aanbieders (lid 1) en essentiële aanbieders (lid 2) wanneer de continuïteitvan de dienstverlening in het gedrang is door (a) incidenten of (b) inbreukenop de beveiliging van netwerk- en informatiesystemen. De ernst wordt bepaaldnaar (a) het aantal gebruikers dat wordt getroffen, (b) de duur van hetincident en (c) de omvang het gebied dat het betreft (art. 10 lid 4 Wbni). Eris toezicht, ondersteuning en advies vanuit de overheid.

Een blik vooruit
In de loop van 2024 zullen de sectoren energie, vervoer, bankwezen,infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater,digitale infrastructuur, beheer van ICT-diensten (B2B), overheid, ruimtevaart,post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, productie endistributie van chemische stoffen, productie, verwerking en distributie vanlevensmiddelen, digitale aanbieders, onderzoek en vervaardigers van o.a.diverse hulpmiddelen, apparaten, werktuigen en transportmiddelen
aan de plichten uit de NIS 2-Richtlijnmoeten voldoen. Dan moet de Nederlandse wet (Wbni) op de NIS 2-Richtlijn zijn aangepast.Te denken valt aan opleiding (art. 20 NIS 2-Richtlijn), passende beveiligingsmaatregelen(art. 21 NIS 2-Richtlijn), een scherpere meldingsplicht (art. 23 NIS2-Richtlijn) en de zorg om cyberbeveiligingsrisico's in toeleveringsketens enrelaties met leveranciers te voorkomen (art. 21 lid 3 NIS2-Richtlijn) bijvoorbeeld door contractuele maatregelen te treffen₁₀. Op bestuurders komt een bijzondereverantwoording te rusten; schending van de richtlijn kan totbestuurdersaansprakelijkheid leiden. Door samenwerking tussen toezichthoudendeautoriteiten kan ook meer controle op omgang met persoonsgegevens plaatsvinden(art. 31 lid 3 en 35 NIS 2-Richtlijn). Vanwege het bepaalde in art. 24 NIS2-Richtlijn kan het belang van certificering in het kader van Europesecyberbeveiligingscertificeringsregelingen₁₁ toenemen.Als ondernemer of organisatie kun je alvast inventariseren en waar mogelijk anticiperenop wat komen gaat. Bestuurders doen er goed aan het kennisniveau alvast op peilte brengen om cybersecurity-risico's te herkennen.

Het Nationaal CyberSecurity Centrum (NCSC) heeft een Handreiking Cybersecuritymaatregelen met basismaatregelenbeschikbaar₁₂.

Uiterlijk op 17oktober 2024 volgt er een regeling met uitvoeringshandelingen met de technischeen methodologische vereisten van de beschermingsmaatregelen in art. 21 lid 2 NIS2-Richtlijn voor ICT-gerelateerde aanbieders₁₃ (art. 23 (slot) NIS 2-Richtlijn).

Lees ook mijnartikel "Verwerkingsverantwoordelijke, bezint eer ge begint; De beginselen vande AVG toegelicht" en blogposts "Het verwerkingsregister" en "Toestemming alsAVG-grondslag".

Richtlijn (EU) 2022/2555 van hetEuropees Parlement en de Raad van 14 december 2022 betreffende maatregelen vooreen hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging vanVerordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking vanRichtlijn (EU) 2016/114 (NIS 2-richtlijn) (PbEU L 333/80).
Richtlijn (EU) 2016/1148 van het EuropeesParlement en de Raad van 6 juli 2016 houdende maatregelen voor een hooggemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen inde Unie (PbEU L 194/1). De bijbehorende uitvoeringsverordening isUitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 totvaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van hetEuropees Parlement en de Raad wat betreft de nadere specificatie van de doordigitaledienstverleners in aanmerking te nemen elementen voor het beheer van derisico's in verband met de beveiliging van netwerk- en informatiesystemen envan de parameters om te bepalen of een incident aanzienlijke gevolgen heeft.
Overweging 74 Richtlijn (EU) 2016/1148.
Overweging 141, 142 Richtlijn (EU) 2022/2555.
Voorheen aangeduid als Cybersecuritywet(Kamerstukken II 2017/18, 34 883, 3)
In de sector vervoer over water hebbenbeveiligingseisen voor ondernemingen, schepen, havenfaciliteiten, havens enscheepvaartbegeleidingsdiensten overeenkomstig rechtshandelingen van de Uniebetrekking op alle activiteiten, met inbegrip van de radio- entelecommunicatiesystemen en computersystemen en netwerken (Overweging 74Richtlijn (EU) 2016/1148).
Art. 4 onder 17 (onlinemarktplaats), 18(onlinezoekmachine) en 19 (cloudcomputerdienst. In Richtlijn (EU) 2022/2555 inart. 6 onder 28, 29 resp. 30.
Kamerstukken II 2017/18, 34 883, 3, p. 2.
Richtlijn (EU) 2022/2555, Bijlagen I en II.
₁₀
Overweging 85 Richtlijn (EU)2022/2555.
₁₁
Op grond van art. 49 Verordening (EU)2019/881 vastgesteld. Hierover Kamerstukken II 2020/21, 35838. 3.
₁₂ < https://www.ncsc.nl/onderwerpen/basismaatregelen/documenten/publicaties/2021/juni/28/handreiking-cybersecuritymaatregelen>
₁₃
DNS-dienstverleners,registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten,aanbieders van datacentra, aanbieders van netwerken voor de levering vaninhoud, aanbieders van beheerde diensten, aanbieders van beheerdebeveiligingsdiensten, aanbieders van onlinemarktplaatsen, vanonlinezoekmachines en van platforms voor socialenetwerkdiensten en aanbiedersvan vertrouwensdiensten (art. 21 lid 2 NIS 2-Richtlijn).

Januari 2023

Disclaimer
De artikelen en blogposts van Legalance bieden algemene informatie en zijn nietbedoeld als advies. Er is niet beoogd volledigheid over een bepaald leerstuk nate streven. Ook kan de informatie verouderd, onvolledig en/of onjuist zijn doorwijzigingen in wet- en regelgeving, nieuwe rechtspraak of andere ontwikkelingen.Aan de hier aangeboden informatie kunnen dan ook geen rechten worden ontleend.De auteur daarvan kan niet aansprakelijk worden gehouden voor de gevolgen vanhet gebruik, op welke wijze dan ook, van deze informatie. De tekst-editor veroorzaakttaal- en opmaakfouten in de weergave.