Op 16 januari 2023 is de tweede Network and Information Security-richtlijn (hierna: NIS2) in werking getreden, en uiterlijk op 17 oktober 2024 moet de tekst van deze Richtlijn in ons land in nationale wetgeving zijn omgezet. Het gevolg is dat er nu snel meer verplichtingen voor meer bedrijven gaan gelden om hun cyberweerbaarheid naar een hoger niveau te brengen.
De eerste NIS-Richtlijn geldt al sinds 2016, en deze is omgezet in Nederland in de Wet Beveiliging netwerk- en informatiesystemen (hierna: Wbni).
Voor diverse bedrijven gelden op dit moment dus ook al diverse verplichtingen. Daarbij moet bijvoorbeeld worden gedacht aan het beheersen van risico’s voor de beveiliging.
Maar voor welke entiteiten gelden thans (via de Wbni) de verplichtingen uit de huidige NIS-richtlijn? En wat verandert daarin?

Onder de werking van de huidige Wbni vallen “digitale dienstverleners” en “vitale aanbieders”. Digitale dienstverleners zijn online marktplaatsen, online zoekmachines en cloudcomputer­diensten. Vitale aanbieders zijn “aanbieders van een essentiële dienst” en “aanbieders van een andere vitale dienst”. Dat zijn onder meer de netbeheerders; voor de sector ‘Energie/Gas’ is het de NAM. Daarnaast betreft het spoorweg­ondernemingen, de Divisie Havenmeester van het Rotter­­damse Havenbedrijf, en de wegen­autoriteiten, drinkwaterbedrijven, diverse banken, en enkele bedrijven die die internet- en data­verkeer faciliteren en DNS-diensten verlenen.

Onder de werking van de NIS2 vallen zogenaamde essentiële entiteiten en belangrijke entiteiten - de begrippen veranderen dus. Voor de essentiële entiteiten geldt het strengste regime.
Alle entiteiten die nu onder de Wbni als vitale aanbieders gelden, gelden straks als essentiële entiteiten.
Maar er komen sectoren bij: ‘gezondheidszorg’, ‘afvalwater’, ‘ruimtevaart’ en ‘overheidsdiensten’.

De belangrijke entiteiten in de NIS2 die nieuw zijn, betreffen entiteiten in de volgende sectoren:
Post- en koeriersdiensten, Afval­­stoffenbeheer, Vervaardiging, productie en distributie van chemische stoffen; Productie, verwerking en distributie van levensmiddelen; de vervaardiging van onder andere de volgende producten: medische hulpmiddelen, informatica/elektronische en optische producten, machines, apparaten en werktuigen en transport­middelen.
De Wbni krijgt dus een veel breder toepassingsbereik.
Bovendien wordt de wetgeving strenger: bedrijven en hun bestuurders kunnen er (persoonlijk) op worden afgerekend indien bedrijven niet voldoende cyberweerbaar zijn. En ook de termijn waarbinnen incidenten moeten worden gemeld wordt korter: 24 uur.

Bestuursorganen/ bestuursleden van zowel essentiële als belangrijke entiteiten zijn straks verplicht om de genomen maatregelen op het gebied van risicobeheer zelf goed te keuren. En ze moeten er zelf op toezien dat de ­­regels worden nageleefd, want ze zijn verantwoordelijk voor de eventuele niet-naleving van de verplichtingen.
Om zelf min of meer goed te kunnen inschatten welke gevolgen er mogelijk zijn van een cyberincident voor de entiteit moeten bestuursleden straks aantoonbaar over voldoende kennis en vaardigheden beschikken. En zij moeten dus, meer dan globaal, weten welke cyberbeveiligings­maatregelen er in het bedrijf worden genomen. Zo kunnen zij zich er ook van vergewissen dat de benodigde maatregelen zijn vervuld.

Die maatregelen moeten zijn afgestemd op de bedrijfsspecifieke risico’s, maar er zijn wel minimumvereisten. Het bestuur van essentiële entiteiten moet er dus voor zorgen dat in ieder geval die vereisten worden vervuld. De NIS2 bepaalt dat personen die vertegenwoordigingsbevoegd zijn aansprakelijk kunnen worden gesteld voor het niet-naleven van de verplichtingen. Zij kunnen zelfs worden geschorst. Die bepaling zal ook in de Wbni worden opgenomen.

De minimumvereisten zijn:

• Er dient een risicoanalyse te worden gemaakt en er dient beleid inzake de beveiliging te worden geïmplementeerd;
• Er dient adequaat te worden gehandeld bij de preventie van, opsporing van en respons op incidenten;
• Er moet zijn nagedacht over bedrijfscontinuïteit en over crisisbeheer (business continuity);
• Er moet een inschatting zijn gemaakt betreffende de beveiliging van de toeleveringsketen, waarbij rekening moet worden gehouden met de specifieke kwetsbaarheden van elke partij;
• Er moet sprake zijn van beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk en informatiesystemen;
• Er moet beleid zijn en er moeten procedures zijn (testen en audits) om de effectiviteit van maatregelen voor het beheer van risico’s te beoordelen; en
• Er moet gebruik worden gemaakt van cryptografie en encryptie.

Wanneer de maatregelen voor het beheer van cyberveiligheidsrisico’s onvoldoende zijn, of wanneer de rapportageverplichting wordt geschonden, kunnen boetes worden opgelegd. De maximumboetes bedragen 10 miljoen euro of 2% van de wereldwijde jaaromzet – afhankelijk van welk bedrag hoger is. Ook kunnen de lidstaten dwangsommen opleggen – ook aan overheden trouwens.
Op basis van de huidige Wbni kunnen ook al dwangsommen, bindende aanwijzingen en boetes worden opgelegd aan bedrijven die de wet overtreden. Het boete­maximum is vooralsnog ‘slechts’ 5 miljoen euro. Tot op heden zijn geen boetes opgelegd, maar dat zal zeker veranderen. De druk vanuit Europa op de lidstaten groeit wat dat betreft.