15 vragen en antwoorden over NIS2 en de impact ervan op jouw organisatie

De Network and Information Security directive (NIS2-richtlijn) richt zich op het versterken van de digitale weerbaarheid in specifieke sectoren. De komst van de richtlijn moet helpen om de regels op dit gebied tussen lidstaten gelijk te trekken en zorgen voor een hoger niveau van cybersecurity bij bedrijven en organisaties.

Sinds 2020 is vanuit de Europese Unie in samenwerking met de lidstaten gewerkt aan de NIS2. Deze richtlijn is gericht op een verbetering van de digitale weerbaarheid van organisaties in de EU. Sinds januari 2023 werkt de Rijksoverheid aan de nationale implementatie door deze richtlijn om te zetten naar Nederlandse wetgeving via de implementatiewet Cyberbeveiligingswet (Cbw). De verwachting is dat dit in het tweede of derde kwartaal van 2025 afgerond zal zijn.

Meer algemene informatie over NIS2 is te vinden vinden op Wat is de NIS2-richtlijn?.

NIS2 is de vervanger van de eerste NIS-richtlijn, ook wel bekend als de NIB-richtlijn (ter beveiliging van netwerk- en informatiesystemen). Die NIB-richtlijn is eind 2018 in de Wet beveiliging netwerk- en informatiesystemen (Wbni) geïmplementeerd en in werking getreden. De Wbni zal door de Cyberbeveiligingswet worden vervangen.

Deze Cyberbeveiligingswet moet in Nederland zorgen voor een betrouwbare, voorspelbare, krachtige en veilige netwerk- en informatiesystemen en economie waar zowel bedrijven als burgers optimaal van kunnen profiteren. Waar wetgeving zoals de Cyber Resilience Act is gericht op de basis-cyberveiligheid van onze digitale producten (zoals apparaten en software), is het doel van NIS2 om de digitale veiligheid bij organisaties in Nederland te versterken en op niveau te brengen en houden.

Naast de NIS2 komt er voor een aantal sectoren ook sectorale wetgeving of verordeningen op organisaties af. Denk hierbij aan de Digital Operational Resilience Act (DORA), voor de financiële sector) en de Netwerkcode cyber security voor grensoverschrijdend elektriciteitsstromen (voor de elektriciteitssector).

Of jouw organisatie onder de NIS2 valt en straks moet voldoen aan de Cyberbeveiligingswet, hangt af van verschillende factoren. Het gaat dan onder andere om de sector waar de organisatie in actief is en de grootte van de organisatie.

Lees voor wie de Cyberbeveiligingswet geldt of doorloop de NIS2 Zelfevaluatie vragenlijst om een indicatie hiervan te krijgen.

De Rijksoverheid werkt aan de nationale implementatie door de NIS2 om te zetten naar Nederlandse wetgeving; de Cyberbeveiligingswet.

De eerste fase van het wetsvoorstel is de consultatie. Tijdens de consultatie die van 21 mei tot 2 juli loopt, kan iedereen een mening en verbetersuggesties op het wetsvoorstel geven. Na verwerking van de consultatiereacties zal het wetsvoorstel worden voorgelegd aan de Ministerraad en vervolgens aan de Raad van State voor advies. Het wetsvoorstel zal daarna worden aangeboden aan de Tweede Kamer voor parlementaire behandeling. Als daarna ook de Eerste Kamer kan instemmen met het wetsvoorstel kan het inwerking treden. De exacte datum van inwerkingtreding is nog niet bekend. Naar verwachting wordt dit het tweede of derde kwartaal van 2025.

Gelet op de benodigde vervolgstappen in het wetgevingstraject zal de deadline van de nationale implementatie van de NIS2-richtlijn, oorspronkelijk gesteld op 17 oktober 2024, niet wordt gehaald. Hierover is de Tweede Kamer eerder dit jaar geïnformeerd in de Kamerbrief over de stand van zaken implementatie NIS2.

Een aantal onderdelen zal in lagere regelgeving worden uitgewerkt, in een zogeheten algemene maatregel van bestuur (amvb). Een concept-amvb zal op een later moment worden geconsulteerd. Zodra de datum hiervan bekend is, wordt dat gecommuniceerd. Het is wel de bedoeling dat de wet en de amvb tegelijk in werking treden.

NIS2 bevat regels die organisaties verplichten om zelf een risicobeoordeling uit te voeren. Op basis daarvan moeten zij passende en evenredige maatregelen nemen om de risico’s aan te pakken en zo de beveiliging van hun netwerk- en informatiesystemen te versterken. In de lagere regelgeving zal deze verplichting ook nader worden uitgewerkt. Het gaat hierbij om maatregelen op het gebied van bedrijfscontinuïteit, incidentenbehandeling en de beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen.

Wacht niet af totdat de zorgplichtmaatregelen in amvb zijn uitgewerkt, maar begin vast met de voorbereidingen. Omdat deze maatregelen nog niet zijn uitgewerkt bij amvb baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk.

Lees meer over de 10 zorgplichtmaatregelen die de NIS12-richtlijn voorschrijft.

NIS2 Startpunt

Let op: Voor de voorbereiding op Nederlandse wetgeving die voortkomt uit NIS2, vind je hier informatie, handvatten en aandachtspunten. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie daarmee meteen voldoet aan alle onderdelen van de komende wetgeving en de bijbehorende zorgplicht.

Een weerbaar digitaal Nederland is altijd belangrijk. Nu en in de toekomst. Er zijn veel maatregelen die organisaties nu al kunnen nemen, nog voordat ze dat verplicht worden vanuit de wetgeving.

De maatregelen die de NIS2-organisaties moeten nemen, kosten tijd en aandacht. Daarom adviseert de Rijksoverheid organisaties om niet af te wachten totdat er wetgeving is, maar om alvast voorbereidingen te treffen.

Onder de zorgplicht vallen ten minste de volgende maatregelen;

• Maatregel 1: Een risicoanalyse en beveiliging van informatiesystemen;
• Maatregel 2: Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
• Maatregel 3: Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
• Maatregel 4: Incidentenbehandeling;
• Maatregel 5: Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
• Maatregel 6: Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
• Maatregel 7: Beveiliging van de toeleveranciersketen;
• Maatregel 8: Beleid en procedures over het gebruik van cryptografie en encryptie;
• Maatregel 9: Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
• Maatregel 10: Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Kijk op het NIS2-startpunt voor een meer informatie, handvatten en maatregelen die je organisatie nu al kan nemen ter voorbereiding op de aankomende wetgeving.

Er zijn veel vragen over de NIS2 en de verhouding tot internationale standaarden zoals de ISO. Vanuit het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is - in samenwerking met verschillende experts – een mapping document gepubliceerd van NIS2-maatregelen en de beveiligingsnorm NEN-EN-ISO/IEC 27002. Als binnen de organisatie ISO of NEN-standaarden worden gehanteerd, dan is dit wellicht een handig hulpmiddel. Let wel, dit is een mapping en is gebaseerd op expertinbreng. Het is en blijft daarmee in ontwikkeling. Het is niet bedoeld om aan te geven in hoeverre de huidige BIO al invulling geeft aan de NIS2-maatregelen.

In de zorgplicht van NIS2 gaat het om de beveiliging van de netwerk- en informatiesystemen die organisaties gebruiken voor het verlenen van hun diensten of het verrichten van hun werkzaamheden. Organisaties die onder NIS2 vallen moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen.

NIS2 verplicht organisaties dat zij bij het treffen van beveiligingsmaatregelen (de zorgplicht) ook zorgdragen voor de beveiliging van hun toeleveringsketen, voor zover het de rechtstreekse leverancier betreft. Bij het ministerie van Economische Zaken en Klimaat merken we dat er veel vragen leven bij bedrijven over de vraag of organisaties die in de toeleveringsketen van NIS2-organisaties zitten, óók onder de wet komen te vallen. Dit is niet het geval: deze bedrijven hebben geen meldplicht van incidenten, geen zorgplicht en vallen niet onder toezicht door de overheid.

Toeleveranciers zullen waarschijnlijk wél met de nieuwe wetgeving te maken krijgen, omdat zij producten en diensten op het gebied van (de beveiliging) van netwerk- en informatiesystemen leveren aan organisaties die wel onder de wet komen te vallen. De organisaties die onder de wet vallen krijgen een verplichting om zorg te dragen voor de beveiliging van de toeleveringsketen. Dat zal in de praktijk betekenen dat organisaties in hun – privaatrechtelijke – contracten met hun leveranciers eisen of voorwaarden willen opnemen over de beveiliging. Denk bijvoorbeeld aan een zorgaanbieder die afspraken wil maken met een clouddienstverlener. Een ander voorbeeld is een energiebedrijf dat afspraken maakt met een softwareleverancier.

Organisaties moeten rekening houden met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener én met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners. Dat geldt ook voor hun ontwikkelingsprocedures.

Er zullen uiteraard vele organisaties zijn die in de toeleveringsketen zitten en tegelijkertijd onder één van NIS2-sectoren vallen, zoals een telecomaanbieder, clouddienstverlener of een managed (security) service provider (een m(s)sp’er). In dat geval vallen ze wél onder NIS2 en de aankomende wet, mits ze ook aan de overige eisen voldoen die voor hun sector gelden, bijvoorbeeld (indien van toepassing), de vereiste bedrijfsgrootte of omzet. Niet vanwege het feit dat ze in de toeleveringsketen zitten, maar vanwege het feit dat ze zélf in een NIS2-sector actief zijn die onder de NIS2 valt en aan de criteria van de wet voldoen.

Meer informatie over het in kaart brengen van je ketenleveranciers en het belang van de beveiliging van de keten kan je vinden op de pagina ‘Hoe maak je een toeleveringsketen veilig?’.

De bedoeling achter deze bepaling in NIS2 is met name om bestuurders bewust(er) te maken van de essentie en het belang dat digitale veiligheid en weerbaarheid ten allen tijde op orde moet zijn en dat zij ook hierop moeten handelen. Volgens deze bepaling in de richtlijn kunnen bestuurders van een organisatie aansprakelijk worden gesteld als zij niet zorg dragen voor de naleving van de zorgplicht. Deze hoeft niet meer in het wetsvoorstel worden geregeld, omdat Nederlandse wetgeving al hierin voorziet.

Wel regelt het implementatiewetsvoorstel de verantwoordelijkheden van het bestuur en van de leden van het bestuur: Het bestuur van een organisatie die onder de implementatiewet valt, moet de beveiligingsmaatregelen goedkeuren en erop toezien dat deze goed door de organisatie worden uitgevoerd (zie ook artikel 20, eerste lid, NIS2).

Daarnaast dienen de leden van het bestuur van de betreffende organisatie te beschikken over kennis en vaardigheden om tot een goed besluit betreffende de beveiligingsmaatregelen te komen. Dit kan bijvoorbeeld worden aangetoond door middel van een certificaat van deelname aan een relevante training.

De bepaling voor aansprakelijkheid van bestuurders is niet direct van toepassing op overheidsinstanties. NIS2 brengt voor hen geen nieuwe aansprakelijkheden met zich mee, buiten dat wat al bestond.

Registratie is nog niet mogelijk. De wet schrijft straks voor dat organisaties die onder de wet vallen zich moeten registreren.

Bij de registratie zal om de volgende gegevens worden gevraagd de naam van de organisatie;

• de relevante sector en sub sector (zie ook de website van het DTC of bijlage I of II);
• contactgegevens, zoals e-mailadres en telefoonnummer;
• de lidstaten waar de organisatie diensten verleent;
• de IP-range van de organisatie.

Op dit moment (voorjaar 2024) wordt er door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online portaal waar organisaties zichzelf moeten registreren als organisatie die onder de wet valt.

Een Computer Security Incident Response Team (CSIRT) is een gespecialiseerde crisisteam dat reageert op computer – en informatie-beveiligingsincidenten. Een CSIRT heeft verschillende belangrijke taken, zoals monitoring, analyse, melding, incident response en het onderhouden van regie en coördinatie. Deze taken worden ook in de wet opgenomen. Het Ministerie van Economische Zaken en Klimaat heeft besloten de CSIRT-taken voor de sectoren waar zij verantwoordelijk voor is te beleggen bij het NCSC.

NIS2 en ook het wetsvoorstel schrijven voor dat organisaties significante incidenten binnen 24 uur moeten melden bij de toezichthouder en het Computer Security Incident Response Team (CSIRT). Het gaat om incidenten die de verlening van de diensten van de organisatie aanzienlijk (kunnen) verstoren. Op basis van de melding kan het CSIRT vervolgens hulp en bijstand verlenen.

Binnen die eerste 24 uur zullen waarschijnlijk nog niet alle feiten over het incident bekend zijn. Hier heeft NIS2 ook rekening mee gehouden, waardoor incident-informatie ook op een later moment kan worden aangevuld. Deze aanvullende informatie moet uiteindelijk binnen bepaalde wettelijke termijnen worden gemeld. Hierdoor kan de organisatie zich in de beginfase van het incident ook meer richten op het verhelpen van het incident.

Een incident is een significant incident als het:

1. een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken organisatie veroorzaakt of kan veroorzaken; of
2. andere organisaties heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

De drempelwaarden voor significante incidenten worden nog nader uitgewerkt. Voor het doen van meldingen bij het NCSC en de toezichthouder wordt een centraal meldpunt ingericht bij het NCSC.

In het geval van een datalek moet op grond van de Algemene Verordening Gegevensbescherming (AVG) het incident ook altijd gemeld worden bij de Autoriteit Persoonsgegevens (AP).

Er is altijd de optie om een vrijwillige melding van een cyberincident te doen bij het CSIRT, ook voor organisaties die niet onder de wet vallen. Ook bij deze vrijwillige meldingen kan het CSIRT de organisatie mogelijk hulp en/of bijstand verlenen.

Toezichthouders zien toe op de naleving van de verplichtingen op de wet. De Rijksinspectie Digitale Infrastructuur (RDI) is op dit moment toezichthouder op de naleving van de huidige Wbni voor de energiesector, de digitale infrastructuur en voor digitale dienstverleners. NIS2 richt zich op meer sectoren dan de huidige NIB-richtlijn.

Namens de minister van Economische zaken en Klimaat is RDI de beoogd toezichthouder op de volgende sectoren:

• Energie
• Digitale infrastructuur
• Ruimtevaart
• Vervaardiging/Manufacturing
• Digitale aanbieders
• Post- en koeriersdiensten
• Onderzoek (deel van de sector)
• Beheer van ICT-diensten

Organisaties die actief zijn in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.

Als het gaat om toezicht wordt er onderscheid gemaakt tussen essentiële organisaties en belangrijke organisaties. Bij ‘essentiële entiteiten’ heeft de uitval van hun diensten meer ontwrichtende impact op de economie en samenleving, dan uitval bij ‘belangrijke entiteiten’. Op de website van het Digital Trust Center staat meer informatie over wanneer een organisatie onder ‘essentieel’ of ‘belangrijk’ valt.

Essentiële organisaties vallen daarom onder een intensiever regime van toezicht, waarin zowel voor- als achteraf (proactief én reactief) toezicht wordt gehouden op de naleving van de verplichtingen.

Proactief toezicht houdt in dat de toezichthouder op ieder willekeurig moment een inspectiecontrole kan uitvoeren.

Voor belangrijke entiteiten geldt dat toezicht achteraf (dus reactief) plaatsvindt.

Reactief toezicht houdt in dat de toezichthouder alleen controles uitvoert na beveiligingsincidenten of wanneer bij de toezichthouder een melding binnenkomt. Ook als er een aanwijzing is die doet vermoeden dat de organisatie niet aan de wet voldoet. Artikel 33, lid 1 in NIS2 zegt hierover het volgende: “Wanneer het bewijs, de aanwijzing of informatie wordt geleverd dat een belangrijke entiteit beweerdelijk deze richtlijn, en met name de artikelen 21 en 23, niet nakomt, zorgen de lidstaten ervoor dat de bevoegde autoriteiten zo nodig maatregelen nemen door middel van toezichtmaatregelen achteraf.”

De toezichthouder ziet toe op de organisaties die aan de wet moeten voldoen, níet op de ketenleveranciers van deze organisaties.