De NIS2-richtlijn

Wat is NIS2?

NIS2 is een EU-richtlijn die gericht is op het creëren van een hoog gezamenlijk niveau van cyberbeveiliging in de Europese Unie. De richtlijn is in januari 2023 in werking getreden en verplicht de lidstaten om de richtlijn uiterlijk in oktober 2024 om te zetten naar nationale wetgeving. De richtlijn bevat onder andere maatregelen voor het beheer van risico’s op het gebied van cyberbeveiliging en verplichtingen op het gebied van het melden van incidenten. Als opvolger van de NIS-richtlijn bevat de NIS2-richtlijn strengere eisen voor een breder scala van actoren, waaronder een bredere reeks verplichte maatregelen voor het beheer van risico’s op het gebied van cyberbeveiliging, en nieuwe vereisten voor het melden van incidenten. Het bestuur dient een cruciale en actieve rol te spelen bij het goedkeuren van maatregelen voor het beheer van risico’s op het gebied van cyberbeveiliging. In het geval van essentiële entiteiten kan het bestuur ook persoonlijk aansprakelijk worden gesteld. Het niet-naleven van de regels kan worden bestraft met boetes tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet.

Op wie is NIS2 van toepassing?

De NIS2-richtlijn is van toepassing op de volgende sectoren:

• Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart
• Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek

De richtlijn is van toepassing op organisaties binnen deze sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.

Organisaties waarop de NIS2-richtlijn van toepassing is worden minimaal als “belangrijke entiteit” aangemerkt. Echter, organisaties uit categorie 1 die minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Essentiële entiteiten krijgen te maken met strenger toezicht en handhaving dan belangrijke entiteiten.

Het is van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

Wat zijn de belangrijkste onderwerpen?

Voor de organisaties die onder de NIS2-richtlijn vallen, legt de richtlijn risicobeheer- en rapportageverplichtingen op. Aangezien de richtlijn nog moet worden vertaald naar nationale wetgeving, erkent het NCSC dat er op dit moment enige onduidelijkheid bestaat over de specifieke verplichtingen waarmee deze organisaties te maken krijgen. Op basis van Deloitte’s analyse van de NIS2-richtlijn zou uw organisatie in ieder geval aandacht moeten besteden aan de volgende onderwerpen: risico-eigenaarschap, beveiligingsvereisten, beveiliging van de toeleveringsketen, en het melden van incidenten.
 

Onderwerp 1: risico-eigenaarschap
Onder NIS2 dient het bestuur een cruciale en actieve rol te hebben in het waarborgen van de naleving van de vereisten op het gebied van risicobeheersing. Volgens NIS2 dient het bestuur risicobeheermaatregelen op het gebied van cyberbeveiliging goed te keuren en toezicht te houden op de implementatie ervan. De richtlijn geeft aan dat het bestuur van essentiële entiteiten persoonlijk aansprakelijk gesteld kunnen worden voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen. Het bestuur dient verder trainingen te volgen om voldoende kennis en vaardigheden op te doen om invulling aan hun verantwoordelijkheden te geven.
 

Onderwerp 2: beveiligingsvereisten
Artikel 21 van de NIS2 richtlijn bevat een lijst van maatregelen voor het beheer van cyberbeveiligingsrisico’s die essentiële en belangrijke entiteiten moeten treffen om hun netwerk en informatiesystemen te beschermen. Een aantal van deze maatregelen zijn incidentbehandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken op het gebied van cyberhygiëne en beleid en procedures inzake het gebruik van encryptie.
 

Onderwerp 3: beveiliging van de toeleveringsketen
Indien uw organisatie onder de NIS2 richtlijn valt, is de beveiliging van de toeleveringsketen één van de maatregelen voor het beheer van cyberbeveiligingsrisico’s, zoals hierboven benoemd, om specifiek aandacht aan te besteden. Als onderdeel van deze maatregel, moet uw organisatie kijken naar beveiliging gerelateerde aspecten van de relaties met leveranciers en dienstverleners. Dit omvat, onder andere, de taak om kwetsbaarheden met betrekking tot de leveranciers en dienstverleners te identificeren. Een ander aspect om naar te kijken is de kwaliteit van de producten en cyberbeveiligingspraktijken, zoals veilige ontwikkelprocedures.
 

Onderwerp 4: het melden van incidenten
In het geval van een significant incident moeten essentiële en belangrijke entiteiten het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde autoriteit binnen 24 uur een vroegtijdige waarschuwing geven en binnen 72 uur het incident melden. Bovendien moet de organisatie haar klanten informeren over incidenten die de levering van de dienst nadelig kunnen beïnvloeden. Significante incidenten worden in de richtlijn gedefinieerd als incidenten die ernstige operationele verstoring van diensten of financiële verliezen voor de organisatie veroorzaken, evenals aanzienlijke materiële of immateriële schade kunnen veroorzaken die andere personen of entiteiten treft.

Toezicht en handhaving

De NIS2-richtlijn voorziet in zowel toezichts- als handhavingsmaatregelen. Essentiële entiteiten kunnen, onder andere, inspecties ter plaatse, toezicht buiten de locatie, en beveiligingsscans, verwachten. Dit geldt ook voor belangrijke entiteiten, maar alleen als er bewijs, aanwijzingen of informatie is dat de belangrijke entiteit niet zou voldoen aan de richtlijn. Handhavingsmaatregelen omvatten waarschuwingen, bindende instructies en administratieve boetes tot EUR 10 miljoen of 2% van de totale wereldwijde jaaromzet van de organisatie. De bestuursorganen kunnen ook te maken krijgen met persoonlijke aansprakelijkheid en de algemeen directeur van een essentiële entiteit kan tijdelijk verboden worden een leidinggevende functies uit te oefenen.

Wat zijn de vervolgstappen?

Als uw organisatie onder de NIS2-richtlijn valt, is het van belang vroeg te beginnen met de voorbereidingen, omdat sommige van de hierboven genoemde onderwerpen tijd kosten om te implementeren. Daarom adviseert Deloitte organisaties om, voorafgaand aan de vertaling van de NIS2-richtlijn naar Nederlandse wetgeving, te starten met de voorbereidingen door te kijken naar de veiligheid en weerbaarheid van hun processen en diensten.

Bij de voorbereidingen op NIS2 moet uw organisatie rekening houden met andere EU-richtlijnen en -verordeningen. Denk hierbij aan de Directive on the Resilience of Critical Entities (CER), Cyber Resilience Act (CRA), AI Act, en Digital Operational Resilience Act (DORA), die elkaar kunnen overlappen in verplichtingen. Zo kan het proces voor het melden van incidenten dat voor GDPR is ontwikkeld als basis gebruikt worden om te voldoen aan de eisen die NIS2 op dit gebied stelt. Door het tegelijkertijd aanpakken van meerdere EU-richtlijnen en -verordeningen of door voort te bouwen op reeds ontwikkelde processen in overeenstemming met andere EU-richtlijnen of -verordeningen, kunnen dubbele inspanningen voorkomen worden.

Deloitte kan uw organisatie helpen om NIS2 op een integrale manier aan te pakken. Onze aanpak focust op het gebruik maken van bestaande processen binnen uw organisatie als basis om aan NIS2 te voldoen, terwijl we rekening houden met andere EU-richtlijnen en -verordeningen. Ondanks dat er nog enige onduidelijkheid is over de implementatie van NIS2 in de Nederlandse wetgeving, kunnen wij ondersteunen bij het identificeren van de nodige acties om uw organisatie te helpen met het zetten van de eerste stappen. Onze aanpak bevat onder andere:

• Een health check voor het creëren van een hoog-over overzicht van de voornaamste aandachtspunten van uw organisatie voor NIS2.
• Een readiness assessment voor het identificeren van de volgende stappen en het opzetten van een roadmap voor uw organisatie.
• De implementatie van security capabilities, waaronder incident response, third-party risk management en training.

Wilt u verder praten? Neem dan contact met ons op.