De informatiebeveiliging op orde voor de NIS2 en Cyberbeveiligingswet?

De Network and Information Security Directive (NIS2-richtlijn) is eind 2022 vastgesteld door de Europese Unie. De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten en wordt op dit moment omgezet naar de Nederlandse Cyberbeveiligingswet. Met de introductie van deze Europese cybersecurity richtlijn wil de Europese Unie bedrijven dwingen hun informatiebeveiliging op orde te brengen.

In Nederland vindt implementatie van de NIS2-richtlijn plaats in de Cyberbeveiligingswet (Cbw). Op het moment dat de Cyberbeveiligingswet inwerking treedt, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De omzetting van de richtlijn in nationale wetgeving had eigenlijk uiterlijk 17 oktober 2024 moeten gebeuren, maar Nederland was te laat met implementeren. De inwerkingtreding van de Cbw wordt momenteel verwacht in Q3 2025.

In de tussenliggende tijd, waarin de richtlijn dus van kracht is maar de Cbw nog niet, geldt een bijzondere situatie waarin organisaties die onder de richtlijn vallen al wel rechten hebben, maar nog geen wettelijke plichten. Dit artikel is erop gericht om organisaties bewust te maken van de reikwijdte van NIS2 en in staat te stellen zich adequaat voor te bereiden op de komst van de Cyberbeveiligingswet.

De NIS2/Cbw is niet van toepassing op mijn organisatie…of toch wel?

De NIS2 en Cbw richten zich op kritieke organisaties en sectoren waarbij uitval van hun diensten kan zorgen voor maatschappelijke en economische ontwrichting. ‘Essentiele sectoren’ zijn onder meer: het bankwezen en financiële markt, de energie-, transport- en overheidssector, gezondheidszorg, digitale infrastructuur en beheerders van ICT-diensten. ‘Belangrijke sectoren’ zijn onder meer: afvalstoffenbeheer, levensmiddelensector, post- en koeriersdiensten en digitale aanbieders (zoals online marktplaatsen). Om te kunnen beoordelen of een organisatie onder de NIS2-reikwijdte valt, heeft de overheid een zelfevaluatietool opgesteld, deze vind je hier.

Organisaties zijn wellicht geneigd om te denken dat ze niet onder de reikwijdte van de NIS2/Cbw vallen, bijvoorbeeld omdat ze ‘klein’ zijn (<10 werknemers). Echter, het is van belang om in ogenschouw te nemen dat ook iedereen in de toeleveringsketen aan de vereisten zal moeten voldoen. Kortom, de NIS2 en Cbw richten zich op de gehele toeleveringsketen. Ook organisaties die zelf niet kwalificeren als ‘essentieel’ of ‘belangrijk’, maar wel producten of diensten leveren aan die partijen, krijgen aldus met de eisen uit NIS2/Cbw te maken. Daardoor zul je als startup of MKB-er die aan een financiële (dus essentiële) dienstverlener een AI-tool of aan een supermarktketen (dus belangrijk) een voorraadmanagementsysteem beschikbaar stelt, ook geraakt worden door deze wetgeving.

De NIS2/Cbw is van toepassing op mijn organisatie, wat nu?

Het voldoen aan NIS2 en Cbw vereist kennis van de wetsvoorwaarden, alsook inzicht in het beheer en de eventuele risico’s op het gebied van data, informatiebeveiliging en compliance.

Het voldoen aan NIS2 en Cbw heeft naast een technisch perspectief, ook een juridisch perspectief. De persoon of groep van personen die verantwoordelijk wordt voor implementatie heeft bij voorkeur dus zowel technische als juridische achtergrondkennis. Daarnaast is bestuurservaring wenselijk. Met de komst van NIS2 wordt ‘ketenverantwoordelijkheid’ en ‘individuele aansprakelijkheid voor bestuurders’ immers ook ingebakken in de nieuwe wet. Dit vereist dus ook bestuurlijke competentie, want de verantwoordelijke(n) moeten ook teams kunnen aansturen, interne politiek kunnen bedrijven, sparren met toezichthouders en op bestuursniveau beslissing kunnen nemen, dan wel bestuurders daarop te kunnen aanspreken.

Iedere organisatie zou zich de volgende 4 vragen moeten stellen:

1. Wordt mijn bedrijf beïnvloed door NIS2/Cbw?
2. Is onze informatiebeveiliging en ons risicomanagement op het juiste niveau voor NIS2/Cbw?
3. Is mijn bedrijf in staat cybersecurity-incidenten correct en tijdig te melden?
4. Hoe staat het met het risicobeheer van de toeleveringsketen van mijn bedrijf als het gaat om informatiebeveiliging?

Organisaties die straks onder de Cyberbeveiligingswet vallen, krijgen onder andere te maken met een zorgplicht, een registratieplicht en een meldplicht.

Zorgplicht

Het wetsvoorstel voor Cyberbeveiligingswet bevat een zorgplicht die organisaties verplicht zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen. Het bestuur van de organisatie moet de maatregelen goedkeuren en toezicht houden op de uitvoering ervan.

De Cbw schrijft in artikel 21, tien zorgplichtmaatregelen voor waar organisaties ten minste aan moeten voldoen. Kort gezegd, gaat het om de volgende maatregelen.

• Maatregel 1: Maak een risicoanalyse op basis van een beleidsplan
• Maatregel 2: Versterk de beveiliging op het gebied van personeel, toegang en assetbeheer
• Maatregel 3: Maak een Bedrijfscontinuïteitsplan (BCP)
• Maatregel 4: Zorg voor een Incident Response Plan (IRP) in geval van incidenten
• Maatregel 5: Zorg dat cyberhygiëne op orde is (intern beleid en training)
• Maatregel 6: Maak beleid op de beveiliging van netwerk- en informatiesystemen
• Maatregel 7: Maak de toeleveringsketen veilig
• Maatregel 8: Maak beleid op gegevensversleuteling
• Maatregel 9: Gebruik MFA of andere beveiligde authenticatieoplossingen
• Maatregel 10: Zorg voor beleid en procedures om de effectiviteit van maatregelen te beoordelen

De advocaten van Penrose kunnen jouw organisatie adviseren en ondersteunen bij het voorbereiden en opstellen van de benodigde beleidsplannen en overige documentatie.

Registratieplicht

Belangrijke en essentiële diensten en organisaties binnen Europa zijn wettelijk verplicht om gegevens aan te leveren voor het entiteitenregister. Het gaat dan om organisatie- en netwerkgegevens. Hiermee vergroot de Europese Unie het zicht op de digitale weerbaarheid. In Nederland vindt de registratie plaats bij het Nationaal Cyber Security Centrum (NCSC).

De registratieplicht geldt vanaf de inwerkingtreding van de Cyberbeveiligingswet. Wel is het sinds 17 oktober 2024 al mogelijk om je organisatie vrijwillig te registeren.

Meldplicht

Uit hoofde van NIS2 en straks de Cbw, hebben belangrijke en essentiële organisaties een meldplicht voor ‘significante incidenten’. Dit zijn incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de organisatie (kunnen) veroorzaken. Ook gaat het om incidenten die (kunnen) leiden tot aanzienlijke materiële of immateriële schade bij andere organisaties. De exacte drempelwaarden voor significante incidenten worden nog uitgewerkt. Daarnaast worden entiteiten uitgenodigd vrijwillige meldingen te maken van niet-significante incidenten of bijna-incidenten.

De melding moet worden gedaan bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Dit kan via een centraal meldpunt via het NCSC.

Er geldt een gefaseerde meldplicht. De eerste melding is een vroegtijdige waarschuwing die zo snel mogelijk – in ieder geval binnen 24 uur na waarneming van het incident – plaatsvindt. Mocht jouw organisatie ook onder de reikwijdte van de Digital Operational Resilience Act (DORA) vallen, dan geldt bovendien een uitzondering en moeten incidenten zelfs binnen 4 uur worden gemeld. De tweede melding dient binnen 72 uur na het incident te worden gedaan, waarbij een beoordeling wordt gedaan van de (verwachte) ernst en gevolgen van het incident. Op verzoek van de sectorale CSIRT of betrokken toezichthouder kan nadere informatie worden opgevraagd. Uiterlijk binnen één maand na het incident volgt er een eindrapport. Hierin worden onder meer een gedetailleerde beschrijving van het incident, de oorzaak, gevolgen en risicobeperkende maatregelen opgenomen. Mocht het incident na een maand nog lopen, dan volstaat een voortgangsverslag en volgt het eindrapport later.

Pas op voor boetes!

Laat je organisatie na om zich adequaat voor te bereiden en blijkt dat je als ‘essentieel’ of ‘belangrijk’ gekwalificeerde organisatie onder de reikwijdte van de NIS2/Cbw valt, dan krijg je te maken met administratieve boetes. De toepasselijke boetes zijn niet mals en gaan van maximaal € 10 miljoen of maximaal 2 procent van de totale wereldwijde jaaromzet (welke van beide het hoogst is) voor ‘essentiële’ bedrijven. En van maximaal € 7 miljoen of 1,4 procent (welke van beide het hoogst is) voor ‘belangrijke’ bedrijven.

Dus…wacht niet af, maar onderneem actie!

Stap 1: Beoordeel of jouw organisatie onder NIS2/Cbw valt, of laat dit beoordelen.

Stap 2: Maak een risicoanalyse op basis van een beleidsplan inclusief toetsing aan de 10 zorgplichtmaatregelen.

Stap 3: Verbeter of implementeer vereisten en aandachtspunten en zorg voor aanwezige processen ten behoeve van de meld- en registratieplichten.

Meer weten?

Heb je vragen over de toepasselijkheid of verplichtingen op grond van de NIS2 / Cyberbeveiligingswet of zoek je juridische ondersteuning bij het implementeren van de vereisten, neem contact op met advocaat IE/IT-recht, Chantal Bakermans via E: c.bakermans@penrose.law of T: +31(0)619304389.