De Europese securityrichtlijn NIS2 is in aantocht. Dat betekent dat een grotere groep organisaties moet gaan voldoen aan strengere security-eisen. Probleem is echter dat nog veel onduidelijk is. Terwijl andere landen hun eigen implementaties al bijna rond hebben, loopt Nederland flink achter. Wat moet en kun je nu als organisatie?
Van ransomware tot phishing, van DDoS-aanvallen tot datadiefstal: digitale dreigingen zijn de afgelopen jaren enorm toegenomen. Om zoveel mogelijk te voorkomen dat kritieke organisaties door dergelijke aanvallen worden getroffen, werd in 2016 de Network and Information Systems Security Directive (NIS) geïntroduceerd. Deze Europese richtlijn legt een aantal beveiligingseisen op aan organisaties die essentieel of belangrijk worden beschouwd, zoals overheidsdiensten en energiebedrijven.
De ontwikkelingen op digitaal gebied gaan echter snel, ook wat betreft digitale dreigingen. Daarom werd eind 2022 de opvolger van de NIS vastgesteld door de Europese Raad: de NIS2. Deze vernieuwde richtlijn legt meer beveiligingsmaatregelen op en maakt de groep organisaties die daaraan moet voldoen groter. Met andere woorden: voor veel meer organisaties worden de strengere regels een verplichting.
- Voor veel meer organisaties worden de strengere regels een verplichting
- Veel concrete regels zijn nog helemaal niet duidelijk
- ‘De NIS2 is internationaal uitdagend, want de wetgeving verschilt per land’
- ‘Ik denk dat het eenzelfde effect krijgt als de AVG’
- Bedrijven nu al stappen nemen om zich voor te bereiden op de aankomende wetgeving
Nederland loopt flink achter
Voor het zo ver is, moet de Europese richtlijn worden omgezet in nationale wetgeving. Europese lidstaten hebben daar een periode van 21 maanden voor. Dat betekent dat de lokale regels vanaf aanstaande oktober moeten gaan gelden. Maar Dilan Yeşilgöz, destijds demissionair minister van Justitie en Veiligheid, liet in januari dit jaar weten dat de deadline niet gehaald wordt. ‘Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht’, schreef ze destijds in een brief aan de Tweede Kamer.
Aan de wet wordt wel gewerkt: de conceptwetgeving is tussen eind mei en begin juli op internet ter consultatie voorgelegd. Geïnteresseerden kregen hiermee de gelegenheid om te reageren op het concept van de Cyberbeveiligingswet, zoals de Nederlandse implementatie van de NIS2 heet. De ontvangen reacties worden op het moment van schrijven nog verwerkt, meldt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) op haar website. Daarnaast worden specifieke zaken en details nog verder uitgewerkt in lagere wet- en regelgeving. Naar verwachting treedt de nieuwe wet pas in het tweede of derde kwartaal van 2025 in werking, zei Yeşilgöz in mei van dit jaar in antwoorden op Kamervragen.
Veel onduidelijkheid
Het gevolg is dat veel concrete regels nog helemaal niet duidelijk zijn. De wet spreekt nu vooral van een meldplicht en een zorgplicht: organisaties moeten incidenten melden bij een toezichthouder en aan diverse beveiligingsmaatregelen voldoen om incidenten te voorkomen. Het is echter nog niet voor iedere sector duidelijk onder welke toezichthouder zij dan vallen. Veel van de exacte beveiligingsmaatregelen die worden moeten genomen, zijn ook nog niet tot in detail uitgewerkt.
Er is niet één standaardlijst aan maatregelen waarmee je als bedrijf altijd aan de NIS2 voldoet
Dat de lokale wetgeving op zich laat wachten, betekent niet dat organisaties tot die tijd rustig kunnen afwachten. Wie onder de NIS2 en dus de Cyberbeveiligingswet gaat vallen, moet zich uiterlijk op 17 januari 2025 registreren bij het Nationaal Cyber Security Centrum (NCSC) – ook al is daar op het moment van schrijven nog helemaal geen mogelijkheid toe.
Internationale lappendeken
Daar komt bovenop dat de NIS2 geen uniforme regelgeving is. Landen moeten zelf een wet maken die de NIS2-richtlijn lokaal implementeert. Het staat hen daarbij vrij om de regels enigszins aan te passen naar lokale standaarden en voorkeuren. Dit was ook het geval bij de Europese privacywet GDPR. Deze is in Nederland geïmplementeerd als de AVG, maar de regels zijn hier net iets anders dan in bijvoorbeeld Duitsland of Italië. Wat hier wel mag, mag in andere landen mogelijk niet – en andersom.
Bij de NIS2 is dat niet anders. Dit betekent dat internationaal actieve organisaties met verschillende regelgevingen te maken kunnen krijgen. ‘De NIS2 is internationaal uitdagend, want de wetgeving verschilt per land’, zegt Cindy Wubben, CISO Public Segment bij Visma, daarover tijdens de Whizpr Technology Outlook in Amsterdam. Zo is Duitsland erg streng rondom compliance en is Finland juist iets milder in zijn sancties voor bestuurders. ‘Finland stelt bestuurders niet persoonlijk aansprakelijk, terwijl dit in de Europese NIS2-richtlijn wel als sanctie voor essentiële bedrijven wordt genoemd.’
Er kan dus een ware lappendeken aan maatregelen ontstaan voor bedrijven die ook in andere EU-landen actief zijn. Er is niet één standaardlijst aan maatregelen waarmee je als bedrijf altijd aan de NIS2 voldoet. Bovendien verschilt het per land wanneer de wetgeving actief wordt – de één is sneller dan de ander. Op veel plekken wordt echter uitgegaan van 17 oktober. Dat is de deadline die de EU heeft gesteld bij het vaststellen van de NIS2. Maar wie waar wanneer aan welke regels moet voldoen, dat moeten organisaties zelf uitzoeken.
Ketenpartners
Ook voor bedrijven die niet direct onder de NIS2 vallen, is het belangrijk om de regels goed te bestuderen. Ketenpartners van essentiële organisaties vallen zelf niet onder de NIS2, maar kunnen toch met de regels te maken krijgen als klanten of opdrachtgevers die wél onder de NIS2 vallen, eisen gaan stellen aan hun toeleveranciers.
Pieter Jansen, SVP of Cyber Innovation bij Darktrace, hoopt dat dit ervoor zorgt dat de NIS2 ook buiten de EU impact krijgt. ‘Ik denk dat het eenzelfde effect krijgt als de AVG. De EU heeft bepaald dat je als houder van data verantwoordelijk bent voor de keten. Als 20 procent van je klanten onder de NIS2 valt, dan moet je als bedrijf een keuze maken: gaan wij voldoen aan de eisen die zij stellen vanwege de NIS2 of nemen we afscheid van die klanten?’, stelt Jansen. ‘Partijen uit de Verenigde Staten vragen ook al wat ze moeten doen om te gaan voldoen.’
Wat kun je nu al doen?
De Nederlandse implementatie van de NIS2 laat dus nog even op zich wachten. Toch kunnen bedrijven nu al stappen nemen, om zich voor te bereiden op de aankomende wetgeving. De NCTV raadt aan de volgende drie maatregelen vast te nemen. Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van je organisatie kunnen verstoren. Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s. En zorg voor procedures die je organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
Daarnaast heeft het Digital Trust Center een toolkit gemaakt voor de NIS2. Daar worden beschikbare informatie en tips verzameld. Zo wordt uitgelegd voor wie de Cyberbeveiligingswet geldt, wat de NIS2 voor organisaties betekent en welke regels er precies gaan gelden. Ook is hier een NIS2-Quickscan te vinden, waarmee organisaties kunnen uitzoeken hoe zij zich kunnen voorbereiden op de Cyberbeveiligingswet.
Valt mijn organisatie onder de NIS2?
Organisaties die onder de NIS2 vallen, moeten zich uiterlijk op 17 januari registreren bij het NCSC. Maar wie valt er nu eigenlijk onder de nieuwe regelgeving? De NIS2-regels – of in Nederland: de Cyberbeveiligingswet – gelden voor organisaties in kritieke sectoren, maar alleen als ze een bepaalde omvang hebben of een ministeriële aanwijzing krijgen. De kritieke sectoren zijn bijvoorbeeld overheidsdiensten, het bankwezen en de energiesector, maar ook sectoren als de digitale infrastructuur, chemische stoffen en vervaardiging.
Daarnaast speelt omvang dus een rol. Grote bedrijven met meer dan 250 werknemers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van 43 miljoen euro vallen onder de Cyberbeveiligingswet, mits zij in een van de kritieke sectoren actief zijn. Dat geldt ook voor middelgrote bedrijven met 50 tot 249 werknemers of een jaaromzet en een balanstotaal van in ieder geval 10 miljoen euro. Micro- en kleine bedrijven vallen alleen onder de Cyberbeveiligingswet als zij een ministeriële aanwijzing hebben.
Wie twijfelt of zijn organisatie onder de Cyberbeveiligingswet valt, kan een zelfevaluatie doen, die de Rijksoverheid heeft gemaakt. De zelfevaluatie is te vinden op regelhulpvoorbedrijven.nl/NIS-2-NL.
Let op: geen certificaat!
Voor veel cybersecuritystandaarden en -regels bestaan certificaten. Organisaties die een dergelijk certificaat aanvragen of behalen, kunnen daarmee aantonen dat zij aan een bepaalde standaard voldoen. Edwin Weijdema, Field CTO EMEA bij Veaam Software, hoort van sommigen dat er ook al dergelijke certificaten rondgaan voor de NIS2. ‘Dat is knap, want zo’n certificaat bestaat niet.’ Dat kan ook niet, want de regels zijn hier nog niet definitief of van kracht.