Binnenkort treedt in Nederland de NIS2-richtlijn in werking. Het is de opvolger van NIS-richtlijn en richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Organisaties die onder de NIS2-richtlijn vallen, moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen. Advocaat Anne-Mieke Dumoulin-Siemens bespreekt in deze blog wat de richtlijn inhoudt, wat dit voor jouw organisatie betekent en welke voorbereidingen je al kunt treffen.
Cyberbeveiliging verdient aandacht
Bedrijven hebben te maken met toenemende digitalisering en cyberincidenten. Op EU-niveau worden de uitdagingen op het gebied van cyberbeveiliging aangepakt met een reeks aan nieuwe regelgeving. Zo is sinds enige tijd de NIS2-richtlijn van kracht. De Network and Information Security Directive 2 (NIS2) moet de cyberbeveiliging en digitale weerbaarheid van organisaties in de EU-lidstaten verbeteren. De NIS2-richtlijn bevat minimum eisen en moet uiterlijk op 17 oktober 2024 zijn geïmplementeerd in Nederlandse wetgeving. Zodra de Nederlandse wetgeving in werking treedt, moeten de in de richtlijn aangewezen sectoren voldoen aan de verplichtingen uit de NIS2-richtlijn, zoals die dan in Nederlandse wetgeving zullen zijn neergelegd.
NIS2-richtlijn heeft een breed toepassingsbereik
De NIS2-richtlijn is van toepassing op een groot aantal sectoren, zoals de gezondheidszorg, transportbedrijven en aanbieders van energie. Maar ook supermarkten, waterbeheerbedrijven en digitale aanbieders moeten zich voorbereiden op de verplichtingen in de NIS2-richtlijn. De NIS2-richtlijn spreekt over zeer kritieke sectoren en andere kritieke sectoren. Er zijn elf zeer kritieke sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruimtevaart. Daarnaast kent de NIS2-richtlijn zeven andere kritieke sectoren: post- en koeriersdiensten, afvalstoffenbeheer, de chemische industrie, de levensmiddelen industrie, de maakindustrie, digitale aanbieders, onderzoek. Organisaties die onder één van de genoemde sectoren vallen, moeten risicobeheersmaatregelen treffen en voldoen aan rapportageverplichtingen op het gebied van cyberbeveiliging.
Hoe weet je of jouw organisatie onder de NIS2-richtlijn valt?
De organisatie moet tot één van de zeer kritieke of andere kritieke sectoren behoren. Daarnaast is de omvang van de organisatie van belang en de vraag of de organisatie een sleutelrol vervult in de samenleving. Als blijkt dat de NIS2-richtlijn van toepassing is, moet je nagaan of jouw organisatie een ‘essentiële’ of een ‘belangrijke’ organisatie is. De overheid heeft een zelfevaluatie opgesteld NIS 2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl). Via deze zelfevaluatie bepaal je of de NIS2-richtlijn van toepassing is op jouw organisatie.
Over welke maatregelen praten wij?
Organisaties moeten kort gezegd passende technische, operationele en organisatorische maatregelen nemen om de cyberbeveiliging en digitale weerbaarheid van hun organisatie te verbeteren. Organisaties moeten de cyberrisico’s in kaart brengen en het beveiligingsniveau van hun netwerk- en informatiesystemen daarop afstemmen. Zo moeten een groot bedrijf die aan grote risico’s is blootgesteld, meer maatregelen nemen dan een kleine onderneming waar de kans op een incident met grote maatschappelijke en economische impact klein is. Bij cyberbeveiligingsmaatregelen moet je denken aan incidentenbehandeling, back-up beheer, beveiliging van de toeleveringsketen, cyberhygiëne, opleiding van personeel, toegangsbeleid èn beleid om de effectiviteit van deze maatregelen te meten.
Welke verplichtingen legt de NIS2-Richtlijn nog meer op?
Governance
De NIS2-richtlijn legt de verantwoordelijkheid voor de cybermaatregelen bij de bestuurders. De bestuursorganen van essentiële en belangrijke organisaties moeten de beveiligingsmaatregelen die worden getroffen goedkeuren en toezien op de uitvoering daarvan. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld voor inbreuken op de beveiligingsverplichtingen. Bestuurders moeten een opleiding volgen, zodat zij voldoende kennis verwerven om de cyberrisico’s te kunnen identificeren en de gevolgen daarvan te kunnen beoordelen.
Rapportageverplichtingen/Meldplicht
Essentiële en belangrijke organisaties moeten elk incident dat aanzienlijke gevolgen heeft voor de verlening van haar diensten onverwijld melden. Denk daarbij aan incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken organisatie (kunnen) veroorzaken. Of een incident dat aanzienlijke materiële of financiële schade aan andere (rechts)personen veroorzaakt of kan veroorzaken. Een eerste melding moet binnen 24 uur worden gedaan bij de bevoegde autoriteiten, gevolgd door een update uiterlijk 48 uur na de eerste melding. Let op dat er ook moet worden gemeld als een incident aanzienlijke gevolgen kan hebben.
Welke voorbereidingen kunnen organisaties alvast treffen?
De overheid is doende de NIS2-richtlijn naar Nederlandse wetgeving te vertalen. Een wetsvoorstel is nog niet gepubliceerd. Op dit moment is alleen duidelijk aan welke minimumeisen zal moeten worden voldaan, omdat deze blijken uit de NIS2-richtlijn.
In afwachting van de inbedding in nationale wetgeving zou je alvast het volgende kunnen doen:
- Stel aan de hand van de NIS2 Zelfevaluatie vast of jouw organisatie onder de werking van de NIS2-richtlijn valt;
- Breng in kaart in hoeverre het bestuur aan de governance-verplichtingen voldoet;
- Stel vast wat de kwaliteit is van de bestaande technische, operationele en organisatorische beveiligingsmaatregelen, inclusief de monitoringmechanismen;
- Bepaal of de organisatie kan voldoen aan de rapportageverplichtingen en meldplichten.
Vragen of advies over de NIS2-richtlijn en de implementatie?
Heb je behoefte aan een nadere toelichting op de governance-verplichtingen of vragen over de rapportageverplichtingen en meldplichten, neem dan contact op met Anne-Mieke Dumoulin-Siemens.
Meer weten over cyber security?
Organisaties beschikken over veel vertrouwelijke informatie. De verwerking van (bijzondere) persoonsgegevens neemt toe. Ook is er steeds meer bedrijfsinformatie digitaal beschikbaar. Al deze data zijn goud waard. Komen gegevens bij de verkeerde mensen in handen, dan heeft dit mogelijk kostbare bedrijfs- en reputatieschade tot gevolg. De vertrouwelijke informatie binnen een organisatie levert soms lastige vragen op. Onze Cyber Security experts adviseren over de impact van cyber security op de bedrijfsvoering.
Auteur
Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.
