Nieuwe cybersecurityregels: NIS2

De samenleving is sterk afhankelijk geworden van digitale technologieën. Deze technologieën brengen een enorme efficiëntieslag met zich mee op vele gebieden, maar er zijn ook risico’s. De meeste bedrijven en organisaties kunnen vanwege de afhankelijkheid van technologie volledig stil komen te liggen wanneer het internet eruit ligt of systemen niet meer werken. Sommige organisaties mogen niet stil komen te liggen vanwege de maatschappelijke gevolgen die dat zou hebben. Bijvoorbeeld wanneer een zorginstelling haar systemen niet meer kan gebruiken en daardoor geen zorg meer kan leveren. De afgelopen jaren zien we echter dat door de uitbreiding van het cyberdreigingslandschap zulke risico’s steeds reëler worden.

Network and Information Security

Om ervoor te zorgen dat de belangrijkste diensten in de maatschappij beschikbaar blijven, is de Network and Information Security 2-richtlijn (“NIS 2”) in het leven geroepen, als opvolger van de NIS 1-richtlijn. De NIS 2-richtlijn heeft als doel het niveau van cybersecurity van essentiële en belangrijke organisaties te verhogen, zodat systemen beter beschermd worden en daarmee essentiële diensten binnen de samenleving beschikbaar blijven, zoals op het gebied van energie, transport, gezondheid en financiën. Deze richtlijn wordt momenteel in nationale wetgeving omgezet. Vanaf 17 oktober 2024 treden de regels definitief in werking. Vanaf dan moeten organisaties aan de richtlijn voldoen. Wat regelt de NIS 2-richtlijn precies? Wij leggen het u uit.

Wat regelt de NIS 2-richtlijn?

De NIS 2-richtlijn beoogt het niveau van cyberbeveiliging omhoog te krijgen, en daarvoor roept het een aantal verplichtingen in het leven:

• Het nemen van bepaalde beveiligingsmaatregelen, zoals het toepassen van encryptie, het opstellen van beleid en het zorgen voor goede back-ups. Welke maatregelen concreet genomen moeten worden, is afhankelijk van de risico’s die zich kunnen voordoen bij een verstoring van een dienst. In de richtlijn worden in elk geval al een aantal beveiligingsmaatregelen genoemd.
• Een meldplicht bij incidenten die kunnen leiden tot ernstige verstoringen van de diensten die de organisatie levert, of die schade kunnen veroorzaken bij de eigen organisatie of natuurlijke personen. Deze meldplicht gaat bestaan naast de meldplicht bij datalekken. Het kan dus zijn dat er twee meldingen gedaan moeten worden bij een incident.
• Extra handhavingsbevoegdheden voor toezichthoudende autoriteiten, zoals het recht inspecties uit te voeren en informatie op te vragen.
• Hogere sancties. Zo kunnen er hoge boetes opgelegd worden bij overtreding van de verplichtingen uit de richtlijn. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet. Het niet naleven van de richtlijn kan dus grote gevolgen hebben.
• Speciale verantwoordelijkheden voor bestuurders: het volgen van cybertrainingen, goedkeuren van het cybersecuritybeleid en het houden van toezicht op de uitvoering ervan. In bijzondere situaties kan een bestuurder zelfs aansprakelijk gehouden worden voor niet-naleving van NIS 2. Het is dan ook van groot belang dat cybersecurity ook bij bestuursvergaderingen op de agenda komt te staan.

Wanneer is de NIS 2-richtlijn van toepassing?

De NIS 2-richtlijn is van toepassing op de sectoren en diensten die van vitaal belang zijn voor belangrijke maatschappelijke en economische activiteiten. Welke sectoren dat zijn, ziet u in de tabel hieronder.

Zeer kritieke sectoren	Kritieke sectoren
Energie Vervoer Bankwezen Infrastructuur voor de financiële markt Gezondheidszorg Drink- en afvalwater Digitale infrastructuur Beheer van ICT-diensten Overheid Ruimtevaart	Post- en koeriersdiensten Avalstoffenbeheer Chemische stoffen Levensmiddelen Vervaardiging (medische hulpmiddelen, informatica-, elektronische- en optische producten, elektrische apparatuur, machines, motorvoertuigen, transportmiddelen) Digitale aanbieders Onderzoek

De NIS 2-richtlijn geldt niet voor alle organisaties die werkzaam zijn in die sectoren. Alleen wanneer een organisatie meer dan 50 werknemers heeft of een omzet van meer dan 10 miljoen euro, gaan de verplichtingen uit de NIS 2-richtlijn gelden.

Wat kan u nu al doen?

De NIS 2-richtlijn moet nog omgezet worden in een Nederlandse wet. De verwachting is dat in het eerste kwartaal van 2024 meer duidelijkheid komt over de implementatie in Nederland. Desalniettemin kunt u zich al voorbereiden op NIS 2:

• Beoordeel of uw organisatie onder de NIS 2-richtlijn valt;
• Beoordeel welke verplichtingen er voor u gaan gelden onder de NIS 2-richtlijn;
• Beoordeel of uw overeenkomsten met uw leveranciers voldoen aan de vereisten van de NIS 2-richtlijn;
• Stel intern beleid op met betrekking tot cybersecurity en de afhandeling van incidenten, of update uw bestaande beleid.

Heeft u hierover vragen of heeft u hierbij hulp nodig? Neem dan contact op met Ruben Krul of één van onze andere specialisten.