Nieuwe NIS2-richtlijn voor cybersecurity in publieke sector

De NIS2 is op 16 januari 2023 in werking getreden. Daarmee gelden er nu ook aangescherpte cybersecurityregels voor publieke organisaties en (mede)overheden. Wat zijn de grootste veranderingen?

De Network and Information Security Directive 2 (NIS2) noemen we in Nederland ook wel de Netwerk- en Informatieveiligingsrichtlijn 2 (NIB2). Het is een uitbreiding op de eerdere NIS. Die oorspronkelijke NIS-richtlijn gold niet voor decentrale overheden, de nieuwe NIS2 wel. Dat betekent dat ook jouw organisatie nu mogelijk verplicht is om meer maatregelen te nemen voor de beheersing van cybersecurityrisico’s.

Internationale bestrijding vergemakkelijken

Met het toenemend gebruik van digitale technologieën stijgt het risico op cyberaanvallen en -criminaliteit. Om internationale bestrijding ervan te vergemakkelijken en stimuleren, bouwt de EU al jaren aan een gedegen cyberdefensiebeleid en blijft ze richtlijnen actualiseren. Nu dus de NIS, waarvan de regels in ons land zijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

NIS2 van toepassing op meer organisaties

Met de NIS2 gaan de cybersecurityregels gelden voor meer sectoren. Naast alle middelgrote en grote ondernemingen moeten nu ook 4.000 instellingen, waaronder publieke organisaties en medeoverheden, meer maatregelen nemen voor de beheersing van cyberbeveiligingsrisico’s. Zo gelden er voor deze organisatie bijvoorbeeld strengere beveiligings- en rapportagevereisten.

De meest opvallende wijzigingen:

• Er is geen onderscheid meer tussen exploitanten van essentiële diensten en aanbieders van digitale diensten. Alle middelgrote en grote entiteiten die actief zijn in sectoren of diensten die onder de richtlijn vallen, worden aangemerkt als aanbieders van essentiële diensten.
• Er moet een aanpak voor risicobeheersing zijn en er is een lijst van minimale basisbeveiligingselementen die moeten worden toegepast.
• Er gelden meer precieze bepalingen voor de procedure, inhoud en termijnen van incidentenmeldingen. Ook moeten entiteiten elkaar en het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) op de hoogte brengen van belangrijke cyberincidenten en -dreigingen.
• De veiligheid van toeleveringsketens en relaties met leveranciers moet worden aangepakt.

Over tot actie

In de praktijk betekent dit voor publieke organisaties en (mede)overheden dat de volgende zaken vereist zijn:

• Risicoanalyses
• Planmatige incidentafhandeling
• Cryptografie en encryptie

Bovendien geldt er een meldplicht voor ernstige incidenten (zie ook de Handreiking Cybersecuritymaatregelen van het Nederlands Cyber Security Centrum en – voor gemeenten – de website van de Informatiebeveiligingsdienst (IBD) van de VNG).

Naleving en handhaving van NIS2

De NIS2 heeft ook consequenties voor naleving en handhaving. De richtlijn stelt dat nationale autoriteiten strenger moeten handhaven op het naleven van regels en stuurt aan op proactieve steekproefcontroles. Voor wie niet aan de beveiligingseisen voldoet, zal er een grotere kans op (hogere) boetes en andere sancties zijn. Boetes kunnen oplopen tot tenminste € 10 miljoen of 2% van de totale (wereldwijde) omzet. Er wordt zelfs voorzien in de mogelijkheid van hoofdelijke aansprakelijkheid voor organisaties die zich schuldig maken aan grove nalatigheid of opzet.