NIS2 / Cbw: De basis en maatregelen om te voldoen

Wat is de NIS2-richtlijn?

De NIS2-richtlijn, vastgesteld door de Europese Unie, is een vernieuwde en uitgebreide versie van de oorspronkelijke NIS-richtlijn, die gericht is op het verbeteren van de cyberbeveiliging en weerbaarheid van essentiële diensten in de EU-lidstaten. Deze richtlijn breidt de reikwijdte uit door meer sectoren te betrekken en stelt strengere normen voor beveiliging en incidentmeldingen. Momenteel wordt de richtlijn in de Nederlandse wetgeving geïmplementeerd.

De aanleiding voor de NIS2-richtlijn ligt in recente mondiale ontwikkelingen zoals de covid-19-pandemie, de oorlog in Oekraïne, toenemende cyberdreigingen en de impact van klimaatverandering, die de veiligheid van de maatschappij en economie onder druk zetten. De richtlijn is bedoeld om de digitale en economische weerbaarheid van de EU-lidstaten te versterken in reactie op deze uitdagingen.

De NIS2-richtlijn richt zich op het verminderen van risico’s die netwerk- en informatiesystemen bedreigen, met name op het gebied van cyberbeveiliging. Dit draagt bij aan meer Europese harmonisatie en een hoger niveau van cybersecurity voor bedrijven en organisaties in de EU. De richtlijn vervangt de eerste NIS-richtlijn, die in Nederland in 2016 in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) was opgenomen. De NIS2-richtlijn wordt in Nederland vertaald naar de Cyberbeveiligingswet (Cbw), die de Wbni vervangt.

Er zijn een aantal verplichtingen ingesteld binnen NIS2- en CER-richtlijnen. Organisaties die onder de NIS2-richtlijn vallen, moeten zich verplicht registreren in een entiteitenregister. Dit register, beheerd door het Nationaal Cybersecurity Centrum (NCSC), biedt een Europees overzicht van alle entiteiten die onder de richtlijn vallen.

De NIS2-richtlijn introduceert een zorgplicht die organisaties verplicht om risicobeoordelingen uit te voeren en op basis daarvan passende maatregelen te nemen om hun diensten en systemen te beschermen. Bestuursleden van deze organisaties moeten deze maatregelen goedkeuren en toezien op de uitvoering, waarvoor ze ook een opleiding moeten volgen.

Daarnaast stelt de NIS2-richtlijn een meldplicht in, waarbij organisaties incidenten die de continuïteit van essentiële diensten kunnen verstoren, binnen 24 uur moeten melden bij een toezichthouder. Cyberincidenten moeten ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat ondersteuning kan bieden. Voor meldingen komt er een centraal meldpunt via het NCSC.

Ten slotte worden organisaties die onder de NIS2-richtlijn vallen, onderworpen aan toezicht. Hierbij wordt gecontroleerd of ze voldoen aan de verplichtingen, zoals de zorg- en meldplicht. Momenteel wordt bepaald welke sectoren onder welke specifieke toezichthouders zullen vallen.

Voor wie geldt de NIS2-richtlijn?

Wat zijn zeer kritieke sectoren, andere kritieke sectoren, grote organisaties, middelgrote organisaties, essentiële entiteiten, belangrijke entiteiten en wat zijn de uitzonderingen op de regel? Dat leggen we hier uit. Om direct zelf te checken of jouw organisatie valt onder NIS2 en in welke categorie, kun je de NIS2 zelf-evaluatie tool van de Rijksoverheid gebruiken. Ben je visueel ingesteld, download dan hier de infosheet van de overheid over registratieplicht met flowchart om te bepalen of jouw organisatie moet voldoen. De volgende afbeelding komt uit de informatiebrochure Cyberbeveiliginswet van de Overheid en geeft een mooie visuele presentatie van wat hierna wordt besproken.

Overzicht sectoren, entiteiten en criteria. BRON

Om te bepalen of een organisatie valt onder de NIS2 richtlijn, hanteert de overheid allereerst een onderscheid tussen zeer kritieke sectoren en andere kritieke sectoren. Vervolgens wordt afhankelijk van de grootte van de organisatie bepaald of een organisatie valt onder essentiële entiteit of belangrijke entiteit.

(Zeer) kritieke sectoren

Zeer kritieke sectoren bijlage 1 bestaan uit de volgende sectoren:

• Energie
• Transport
• Bankwezen
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Beheerders van ICT-diensten
• Afvalwater
• Overheidsdiensten
• Lokale overheden
• Ruimtevaart

Andere kritieke sectoren bijlage 2 bestaan uit de volgende sectoren:

• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging / manufacturing

Valt jouw organisatie binnen een zeer kritieke of andere kritieke sector? Dan moet je wellicht voldoen aan de NIS2-richtlijn. Op basis van de grootte van de organisatie bepaal je dat definitief, alhoewel er uitzonderingen kunnen zijn.

Valt jouw organisatie onder NIS2?

Op basis van de grootte van de organisatie wordt bepaald of de organisatie essentieel of belangrijk is. Alhoewel nog niet alles is vastgesteld, is het grote verschil dat er op essentiële organisaties actief toezicht zal zijn en op belangrijke entiteiten achteraf als daar aanleiding voor is. Dat betekent hoe dan ook dat je aan de slag moet als je onder de NIS2-richtlijn valt.

Wat is een '(middel)grote' organisatie?

Grote organisaties hebben: 1) minimaal 250 personen werkzaam OF 2) een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro.

Een middelgrote organisatie heeft: 1) minimaal 50 personen in dienst OF 2) een jaaromzet van meer dan 10 miljoen euro, en een balanstotaal van meer dan 10 miljoen euro.

Hierna wordt aan de hand van de sectoren bepaald of een organisatie essentieel of belangrijk is. Er zijn een aantal uitzonderingen op bovenstaande regels. De volgende organisaties vallen altijd onder de Cyberbeveiligingswet: sector Overheid, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinnaamregistratiediensten en aanbieders van openbare elektronische communicatienetwerken en –diensten. Daarnaast kan een vakminister een kleiner bedrijf alsnog aanwijzen om te vallen onder de Cyberbeveiligingswet.

Essentieel of Belangrijk?

Grote organisaties uit een sector genoemd in bijlage 1 (zeer kritieke sectoren) zijn essentiële entiteiten. De net genoemde uitzonderingen, zoals overheid, vallen altijd onder essentiële entiteiten. Ook organisaties die als ‘Kritieke entiteit’ vallen onder de CER-richtlijn zijn essentiële entiteiten.

De rest van de organisaties worden aangemerkt als belangrijke organisatie. Dat zijn dus middelgrote organisaties die vallen in een bijlage 1 sector (zeer kritiek), en grote en middelgrote bedrijven die vallen in een bijlage 2 sector (andere kritieke sectoren).

Wanneer gaat de Cyberbeveiligingswet in?

De NIS2-richtlijn is eind 2022 vastgesteld door de Europese Unie. De EU heeft een deadline voor alle lidstaten vastgesteld op 17 oktober 2024. Sommige lidstaten, zoals Duitsland, zeggen deze datum te halen. De Nederlandse regering heeft echter in januari al aangegeven deze deadline niet te gaan halen. D. Yesilgöz-Zegerius, Minister van Justitie en Veiligheid, schreef in een brief aan de Kamer: “Ik streef ernaar de wetsvoorstellen vervolgens in het najaar van dit jaar aan uw Kamer aan te bieden.”

Het feit dat de Overheid de deadline niet haalt betekent echter niet dat jouw organisatie niet voorbereid moet zijn. De Minister gaf ook aan dat een vroegtijdige voorbereiding cruciaal is, gezien het enorme tekort aan specialisten in cybersecurity. Daarbij is er nog een extreem belangrijk punt om te overwegen, namelijk dat organisaties in andere lidstaten die al wel voldoen compliance met NIS2 wel al kunnen verplichten. België en Duitsland halen de deadline waarschijnlijk en dat zijn nou net de belangrijkste exportlanden voor Nederland.

Kortom, houd de deadline van 17 oktober aan! Dat geeft jouw organisatie op het moment van schrijven dus nog maar twee maanden om volledig te voldoen aan alle eisen van de NIS2-richtlijn. Geen reden voor zorgen nog, maar het is dus wel essentieel om er gisteren mee te beginnen. Wij helpen daar graag bij, samen met ons netwerk van partners.

Gevolgen van niet voldoen

Los van potentieel verloren business kun je ook behoorlijke boetes krijgen als je niet voldoet. Voor essentiële entiteiten komt dit waarschijnlijk al snel aan het licht, aangezien er vooraf wordt gecontroleerd. Voor belangrijke entiteiten komt dit achteraf vaak pas aan het licht, wat misschien nog wel veel erger is, aangezien er dan al een cybersecurity incident is geweest wat zorgt voor een controle.

Naast het feit dat de cybersecurity of orde moet zijn vanuit een verantwoordelijkheidsstandpunt, kan een organisatie ook nog hoge boetes krijgen. Hoofdstuk VII, artikel 34 van de NIS2-richtlijn noemt boetes:

• “met een maximumbedrag van ten minste 10 000 000 EUR of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.”

en

• “met een maximumbedrag van ten minste 7 000 000 EUR of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is.”

Hierna worden nog meer, soms vergaande, handhavingsinstrumenten beschreven die de toezichthouder kan inzetten als er niet wordt voldaan aan de wetgeving.

Concrete stappen naar compliance

Hiervoor noemden we al kort de vier verplichtingen die de Cyberbeveiligingswet voorschrijft: Registratieplicht, Meldplicht, Toezicht en de belangrijkste: de Zorgplicht.

Registratieplicht

Bepaal met behulp van de informatie hierboven of jouw organisatie onder de Cyberbeveiligingswet valt. De zelfevaluatie tool van de overheid kan hier ook bij helpen. Het Nationaal CyberSecurity Centrum (NCSC) werkt momenteel aan een online registratiesysteem waar organisaties zich kunnen aanmelden als NIS2 entiteit. Dit levert ook een Europees overzicht van NIS2 entiteiten op.

Meldplicht

Ook voor meldingen wordt door het NCSC een centraal meldpunt ingericht. Zo kunnen organisaties incidenten gemakkelijk melden bij zowel de toezichthouder, als bij het Computer Security Incident Response Team (CSIRT), dat organisaties ondersteuning en advies biedt bij een incident.

Wanneer melden?

Significante incidenten dienen binnen 24 uur gemeld te worden. Een incident is, volgens de Cyberbeveiligingswet, significant als het:

1. een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken; of
2. andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken

Meldproces

Procesbeschrijving gefaseerde meldplicht. BRON

1. Binnen 24 uur dient een vroegtijdige waarschuwing te worden gegeven met of het om een (kwaadwillig) voorval met mogelijke (aanzienlijke) gevolgen gaat.
2. Binnen 72 uur dient een officiële melding te worden gemaakt met beoordeling van het incident, impact en IoC’s (Indicators of Compromise, die aanwijzingen en bewijs van incidenten beschrijven).
3. Op verzoek van CSIRT of relevante bevoegde autoriteit kan om een tussentijds statusverslag worden gevraagd.
4. Binnen 1 maand na het incident dient een eindrapport te worden opgemaakt. Als het incident nog gaande is na een maand volstaat een voortgangsverslag. De eindrapportage volgt dan later.

Toezicht

Essentiële entiteiten vallen onder proactief toezicht, dus ook wanneer er geen sprake is van incidenten. Bij belangrijke entiteiten vindt dit toezicht achteraf, na een incident, plaats. De instrumenten die de toezichthouders kunnen gebruiken voor essentiële entiteiten zijn: controlefunctionaris, beveiligingsscan, beveiligingsaudit, openbaarmaking overtreding, bindende aanwijzing, last onder bestuursdwang, verzoek tot schorsing certificering of vergunning, verzoek tot schorsing leden van het bestuur en een bestuurlijke boete.

Belangrijke entiteiten kunnen te maken krijgen met een beveiligingsscan, beveiligingsaudit, openbaarmaking overtreding, bindende aanwijzing, last onder bestuursdwang en een bestuurlijke boete.

Zorgplicht

Als laatste is het belangrijkste criterium, namelijk de zorgplicht. Dit is waar je met jouw organisatie mee aan de slag moet. Dit is het absolute minimum wat geregeld moet zijn. Daarnaast kunnen er aanvullende normen en kaders zijn voor specifieke sectoren, bijvoorbeeld de zorg of overheid. vBoxx helpt graag mee om door jouw organisatie te lopen om te ontdekken wat er concreet gedaan moet worden. Dit ontvang je achteraf in een rapport van ons. Onze gratis NIS2-scan kun je bij ons aanvragen en daarna kun je gebruik maken van ons grote netwerk van partners om hulp te krijgen bij het voldoen aan iedere maatregel.

Veel hulpvolle informatie en uitgebreide beschrijvingen en stappen van deze maatregelen zijn ook te vinden op de website van het Digital Trust Center van het Ministerie van Economische Zaken en Klimaat. De onderstaande informatie over maatregelen komt ook grotendeels van deze website.

Jouw volgende stappen

Er zijn veel facetten die meespelen in het voldoen aan de nieuwe Cyberbeveiligingswet. Veel van de basissystemen kan vBoxx overnemen en leveren. Denk aan Cloudopslag, e-mail, agenda's, videobellen, wachtwoordmanagement, servers, backups en nog meer. Samen met ons netwerk van partners zijn veel te nemen maatregelen te bereiken.

Onze partner Gart solutions is een IT-partner die gespecialiseerd is in het veilig en robuust opzetten van infrastructuur, cloudmigratie, DevOPS, IT-consultancy en andere oplossingen voor NIS2-compliance.

Voor complexe systemen en problemen zijn ze beschikbaar om hun 15-jaar lange expertise met je te delen. In combinatie met de diensten en infrastructuur van vBoxx zorgt dit voor een waterdichte oplossing voor de belangrijkste onderdelen van je organisatie!

Laat ons meedenken en plan hieronder de NIS2-scan in. Zo kunnen we samen kijken wat passende oplossingen zijn en welke partners daarbij kunnen helpen. Uiteraard helemaal vrijblijvend en gratis!

Bekijk ook ons webinar dat we hebben gegeven over NIS2 en in het bijzonder maatregel 7: Beveiliging van de toeleveranciersketen. Of lees de blog post over maatregel 7.