NIS2: Bestuurders kom in actie

Nieuwe cyberwet (NIS2) in 2024: hoe bereidt u zich voor?

Het cyberrisico blijft zich ontwikkelen. Zowel het aantal cyberincidenten als de omvang en de gevolgen ervan groeien. De economische en sociale impact is vooral groot wanneer organisaties aangevallen worden die essentieel zijn voor de samenleving, zoals de infrastructuur en de drinkwatervoorziening. De kans om getroffen te worden door phishing, ransomware of zelfs sabotage en spionage groeit ieder jaar. Aangezien het bedrijfsleven niet weerbaar genoeg is gebleken tegen dergelijke aanvallen en de weerbaarheid bovendien ongelijk is verdeeld tussen de Europese lidstaten heeft het Europees Parlement
in december 2022 de richtlijn NIS2 aangenomen. Nederland en de andere lidstaten hebben tot oktober 2024 de tijd om deze richtlijn om te zetten in nationale wetgeving. Omdat vereiste veranderingen vaak niet van de ene op de andere dag gerealiseerd kunnen worden, is het belangrijk dat organisaties zich dit jaar al gaan voorbereiden.

Wat is de NIS2-richtlijn?

De Europese richtlijn NIS2 is de vervanger van de bestaande Network & Information Systemsrichtlijn(2016/1148), die eisen stelt aan de cyberweerbaarheid van ‘essentiële’ diensten. NIS was de eerste Europese wetgeving op het gebied van cyberbeveiliging en is in ons land geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De eerste richtlijn bood veel vrijheid aan lidstaten om organisaties als ‘essentiële’ diensten aan te wijzen. Zo werd in België ervoor gekozen om ziekenhuizen wel aan te wijzen, terwijl dit in Nederland niet het geval is. Hierdoor zijn per land veel verschillen ontstaan, terwijl het doel eigenlijk was om meer via wetgeving te harmoniseren. Een ander nadeel van de eerste richtlijn is dat er veel onduidelijkheid bestaat over de wijze waarop ‘essentiële’ dienstverleners een cyberincident zouden moeten melden. Ook kan gesteld worden dat de boetes bij non-compliance vrij laag waren, terwijl het belang om organisaties aan de richtlijn te laten voldoen groot is.

Wat is het verschil met de bestaande wetgeving?

Pas wanneer de NIS2-richtlijn in onze nationale wetgeving geïmplementeerd is, zal volledig duidelijk worden wat de gevolgen zijn voor organisaties in Nederland en de EU. Per land blijft er enige ruimte om af te wijken, maar de uitgangspunten en kaders zijn al wel bekend. Hieronder vindt u de belangrijkste verschillen:

1. Bredere reikwijdte. NIS gold alleen voor ‘essentiële’ entiteiten, zoals de drinkwatervoorziening, energiebedrijven en de waterkering. Bij de invoering van NIS2 zullen naast de ‘essentiële’ ook ‘belangrijke’ entiteiten en sectoren verplicht worden om maatregelen te nemen. Deze uitbreiding omvat onder meer de voedselproductie, distributie, maakindustrie, ICT, postbezorging, afvalverwerking en research.
2. Aanscherping van de bestaande beveiligingseisen, meldings- en rapportageplicht, toezichtmaatregelen en handhavingsvereisten. ‘Essentiële’ en ‘belangrijke’ organisaties krijgen te maken met dezelfde verplichtingen, maar de sanctionering en regulering binnen deze groepen zal verschillen.
3. Beheer van risico’s van derden in de toeleveringsketens en de relatie met leveranciers. Hierdoor krijgen dus ook niet-‘essentiële’ en niet-‘belangrijke’ entiteiten mogelijk met NIS2 te maken. Vanwege contractuele verplichtingen zullen zij vaak aan dezelfde eisen moeten voldoen. Er wordt vanuit gegaan dat in Nederland minimaal zo’n 4.500 organisaties te maken krijgen met NIS2.

Wat zijn de gevolgen voor de Nederlandse wetgeving?

In tegenstelling tot de privacywetgeving AVG, een verordening die rechtstreeks doorwerkt in onze nationale wetgeving, is NIS2 een richtlijn. Dit
betekent dat de kaders vanuit deze richtlijn nog door de wetgever omgezet moeten worden in nationale wetgeving. Ieder land heeft daarbij in zekere mate
de vrijheid om de kaders op zijn eigen manier te interpreteren. In de definitieve Nederlandse wetgeving kan de lijst en definitie van ‘belangrijke’ entiteiten dus afwijken van die in andere landen.

Wat is de status van de implementatie van NIS2?

Het Europees Parlement heeft de richtlijn NIS2 per december 2022 aangenomen. Lidstaten hebben 21 maanden de tijd om de richtlijnen op te nemen in
hun nationale wetgeving. Nederland heeft dus tot 17 oktober 2024 om de lokale wetgeving aan te passen aan de nieuwe Europese norm. Naar verwachting wordt de Nederlandse wetgeving eind 2023 beschikbaar voor bedrijven, zodat er genoeg tijd is voor controle en eventuele wijzigingen en de nieuwe wet uiterlijk op 18 oktober 2024 in kan gaan.

Wat betekent de toekomstige wetgeving voor Nederlandse organisaties en bedrijven?

De nieuwe wetgeving zorgt ervoor dat meer organisaties verplicht worden om technische en organisatorische maatregelen te nemen om hun cyberveiligheid te verhogen. Daarnaast moeten zijprocedures voor het melden van incidenten vaststellen, incidenten monitoren en een plan voor voortdurende naleving ontwikkelen. Om aan deze eisen te kunnen voldoen, moeten afdelingen en belanghebbenden binnen bedrijven en organisaties met elkaar samenwerken en ervoor zorgen dat iedereen zijn verantwoordelijkheden begrijpt.

Waarom is het belangrijk dat u de nieuwe richtlijn naleeft?

Behalve het voldoen aan uw verplichtingen, levert het naleven van NIS2 u als organisatie ook voordelen op. Het helpt u uw eigen systemen en activa, maar ook die van klanten en partners te beschermen. Hierdoorverkleint u het risico op dure beveiligingsincidenten en verbetert u de digitale veiligheidspositie van uw organisatie, en daarmee beschermt u ook uw reputatie. Bovendien kan de NIS2-richtlijn een mogelijk harmoniserend effect hebben op de vanuit klanten of zakenpartners aan uw organisatie opgelegde contractuele verplichtingen voor cyberweerbaarheid.

Wat gebeurt er wanneer u de richtlijn niet naleeft?

‘Essentiële’ of ‘belangrijke’ organisaties of bedrijven die de richtlijn niet naleven, riskeren een boete. Ook in de huidige wetgeving is dit zo, maar op dit moment zijn deze bedragen, zeker voor grotere bedrijven en overheidsorganisaties, relatief laag (maximaal € 5 miljoen), en is het toezicht vaak achteraf. Bij NIS2 zal het toezicht pro-actiever zijn en de boetes hoger, namelijk 2% van de wereldwijde omzet of € 10 miljoen. Hiermee volgt deze richtlijn de trend van de privacywetgeving AVG (GDPR). Daarnaast dienen de lidstaten ervoor te zorgen dat bestuurders cybermaatregelen moeten goedkeuren en toezien op de uitvoering ervan. Verder zullen bestuurders moeten worden aangemoedigd om opleidingen te volgen om cyberrisico’s te kunnen identificeren en beoordelen. En worden lidstaten geacht er ook voor te zorgen dat bestuurders aansprakelijk kunnen worden gesteld indien organisaties niet voldoende cyberweerbaar zijn.

Hoe bereidt u zich het beste voor op de nieuwe richtlijn?

Is uw organisatie een ‘essentiële’ of ‘belangrijke’ entiteit, of doet u zaken met een organisatie die als zodanig wordt aangemerkt? Begin dan op tijd aan de
voorbereiding om te kunnen voldoen aan de nieuwe wetgeving. Het is belangrijk dat uw organisatie eerst een GAP analyse maakt om te bepalen aan welke
eisen al wordt voldaan binnen uw organisatie. Voor de onderdelen van NIS2 die nog niet zijn afgedekt stelt u een roadmap op. Daarbij is het van belang om te bedenken dat cyberweerbaarheid een cyclisch proces is dat bestaat uit een aantal onderdelen:

• Voldoende maatregelen nemen om een cyberrisico
  te voorkomen door:
  • profesioneel risicomanagement waarbij u voldoende inzicht heeft in de cyberrisico’s en waarbinnen u beheersmaatregelen, risicoacceptatie en continuïteitsmanagement adequaat heeft ingericht;
  • uw crisisorganisatie in te richten, een crisisplan voorhanden te hebben en relevante scenario’s te oefenen;
  • voldoende aandacht te hebben voor de soft side (bewustwording creëren).
• Een cyberincident op adequate wijze afhandelen om snel terug te kunnen keren naar uw normale bedrijfsvoering en voldoen aan uw meldplicht(en)
• Na een crisissituatie evalueren en verbeteringen doorvoeren om herhaling in de toekomst te voorkomen. 

Wilt u zich ook goed voorbereiden op NIS2?

Aon blijft u de komende periode op de hoogte houden van de ontwikkelingen rond NIS2. Wilt u actief geïnformeerd worden over de nieuwe cyberwetging? Bezoek dan onze NIS2 Insights pagina. Daar kunt u zich aanmelden voor Aon’s NIS2 Insights, voor de laatste updates en relevante webinars. Aon biedt een programma om te bepalen wat uw organisatie nog moet doen om aan de eisen van NIS2 te voldoen en helpt u bij het uitvoeren van de benodigde stappen.