Meer ondernemingen krijgen te maken met strengere regels over ict-beveiliging. Het toepassingsgebied van de eerdere NIS wordt uitgebreid, zodat niet alleen kritieke infrastructuur beter wordt beveiligd en ondersteund, maar ook bedrijven die diensten leveren voor essentiële sectoren. Wat is NIS2?
De Network and Information Security Directive 2 (NIS2) is een uitbreiding van de eerdere NIS (zie hieronder). In Nederland heet dit de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). Deze Europese regels om ict-beveiliging te verhogen worden in lidstaten elk in eigen wetgeving verwerkt.
Lees ook: Waarom CFO’s zich zorgen moeten maken over cybersecurity
Wat houdt NIB2 in?
De Europese Netwerk- en Informatiebeveiligingsrichtlijn stelt eisen aan de beveiliging van bedrijven die essentiële diensten verlenen. Voorheen waren dat bedrijven die verantwoordelijk zijn voor kritieke infrastructuur, maar NIB2 trekt het begrip van wat een ‘vitale aanbieder’ precies is breder. De richtlijn wordt verwerkt in nationale regelgeving van lidstaten. Zo is er de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni) die is ontstaan uit de eerdere Europese richtlijn NIB. Deze wet is van toepassing op ondernemers in de vitale sector, bijvoorbeeld energiebedrijven en drinkwaterleidingen, of andere bedrijven of toeleveranciers die een essentiële dienst leveren.
Wat is een vitale aanbieder nu?
De Wbni geldt voor vitale aanbieders, de Rijksoverheid en digitale dienstverleners. Een vitale aanbieder is bijvoorbeeld een bedrijf dat werkt aan de drinkwatervoorziening, een verwerker van nucleair materiaal, een oliebedrijf of landelijk elektrabedrijf. Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid gaat het hierbij om bedrijven in de infrastructuur met de volgende kenmerken:
• Economische gevolgen: Groter dan ongeveer 50 miljard euro schade of circa 5 procent daling reëel inkomen
• Fysieke gevolgen: meer dan 10.000 personen dood, ernstig gewond of chronisch ziek
• Sociaal maatschappelijke gevolgen: meer dan 1 miljoen personen ondervinden emotionele problemen of ernstig maatschappelijke overlevingsproblemen
• Cascade gevolgen: Uitval heeft als gevolg dat minimaal twee andere sectoren uitvallen.
• Aanbieders van betalingsverkeer, vervoer over het wegennet, basisregistratie van personen en internetdiensten zijn ook essentiële aanbieders, maar krijgen een net wat lagere prioriteit bij calamiteiten dan de eerder genoemde voorbeelden. Het gaat hierbij om infrastructuur met de volgende kenmerken:
• Economische gevolgen: Groter dan ongeveer 5 miljard euro schade of circa 1 procent daling reëel inkomen
• Fysieke gevolgen: meer dan 1.000 personen dood, ernstig gewond of chronisch ziek
•Sociaal maatschappelijke gevolgen: meer dan 100.000 personen ondervinden emotionele problemen of ernstig maatschappelijke overlevingsproblemen
Lees ook: Nationale cyber security organisaties gaan krachten bundelen
Wie vallen hier straks onder?
Het toepassingsgebied van de eerdere NIB wordt uitgebreid. De richtlijn maakt een onderscheid tussen een vitale aanbieder en een belangrijke aanbieder. Belangrijke aanbieders zijn bedrijven waarbij eventuele verstoring geen grote economische gevolgen heeft. Hier vindt ook toezicht achteraf op plaats, terwijl vitale aanbieders actief worden gemonitord. Onder de NIB2 zijn veel meer bedrijven essentiële aanbieders dan in de eerdere regels het geval was. Denk hierbij ook aan de bankensector, kapitaalmarktinstellingen en digitale aanbieders, en bijvoorbeeld transportbedrijven, afvalbeheerders en de levensmiddelenindustrie. Ook digitale aanbieders, bijvoorbeeld ict-dienstverleners als msp’s, die actief zijn in sectoren die onder de NIB2 vallen, vallen onder de aangescherpte regels.
Wat zijn de nieuwe eisen?
Behalve uitbreiding van het toepassingsgebied, stelt de nieuwe regelgeving ook hogere eisen aan de beveiliging van organisaties die onder de regels vallen. De zorgplicht die vereist dat bepaalde organisatorische en technische maatregelen zijn uitgevoerd, wordt strenger. Er is bijvoorbeeld een lijst van minimale beveiligingseisen waar een vitale organisatie aan moet voldoen, bijvoorbeeld met de implementatie van een Security Operations Center of bepaalde NEN-normen. Afhankelijk van de Nederlandse implementatie waar later dit jaar meer informatie over volgt, geldt er mogelijk een uitzondering geldt voor kleinere bedrijven onder een bepaalde omzetdrempel.
De handhaving wordt daarnaast verscherpt en toezichthouders kunnen nu hoge boetes opleggen, van ten minste 10 procent van de jaaromzet of 2 procent van de wereldwijde omzet. De hoge boeteclausule is een stok achter de deur om de wetgeving minder een papieren tijger te maken. De Europese Commissie heeft ervaring met het sturende effect van zulke hoge boetes met datawetgeving GDPR (AVG).
Niet alleen plichten, ook rechten
De richtlijnen zorgen niet alleen voor plichten, maar ook voor rechten, bijvoorbeeld op ondersteuning en advies van een Computer security incident response team (CSIRT). ‘Een CSIRT heeft bijvoorbeeld als taak om cyberdreigingen, kwetsbaarheden en incidenten te monitoren en te analyseren en om organisaties die onder de NIB2 vallen vroegtijdig te waarschuwen en informatie te delen over dreigingen, kwetsbaarheden en incidenten,’ schreef minister Adriaansens van Economische Zaken in februari. ‘In Nederland hebben vitale aanbieders en onderdelen van het Rijk reeds recht op bijstand van het Nationaal Cyber Security Centrum (NCSC) en digitale dienstverleners (cloud, online marktplaatsen en zoekmachines) van het CSIRT voor digitale diensten.’
Lees ook: Onderzoek: Cybercriminele organisaties lijken steeds meer op echte bedrijven
Welke rol speelt de nieuwe cyberorganisatie?
Het kabinet is voornemens bestaande Nederlandse instellingen om cruciale sectoren en overheden van beveiligingsinformatie te voorzien te bundelen in een nieuwe organisatie. Dat betekent dat de NCSC voor vitale sector, CSIRT-DSP voor service providers en het Digital Trust Center samen om voortaan publieke en private, grote en kleine, vitale of niet-essentiële ondernemers van informatie te voorzien. Deze nieuwe organisatie is dan een nationaal expertisecentrum, informatieknooppunt én nationaal CSIRT. Deze organisatie zou belangrijke bedrijven en lokale overheden dus ondersteunen onder de nieuwe richtlijn.
Wanneer gelden deze nieuwe regels?
De NIS2/NIB2 is op 16 januari 2023 in werking getreden. Lidstaten hebben 21 maanden de tijd om dit in wetgeving om te zetten en moeten uiterlijk 17 oktober 2024 de Europese regels hebben verwerkt. In Nederland heeft het ministerie van Economische Zaken al stappen gezet door het toepassingsgebied van de Wbni uit te breiden met het wetsvoorstel Wet bevordering digitale weerbaarheid bedrijven. In september 2023 debatteert de Tweede Kamer over het voorstel. Ook is in Nederland al voldaan aan eisen om een nationaal hulp te laten bieden. Onder de NIB2 worden ook eisen gesteld voor het melden van incidenten, waardoor informatie over potentiële digitale dreigingen beter wordt gedeeld. Medio 2024 moeten alle regels van de NIB2 zijn geïmplementeerd, zo meldde het ministerie van Economische Zaken eerder in een Kamerbrief.
Lees ook
De belangrijkste IT-thema’s voor bedrijven in 2023: AI, cyberbeveiliging en superapps
Cyberveilig Nederland publiceert Whitepaper Data-exfiltratie met Politie, OM en NCSC
