Wat is de NIS2-richtlijn?

De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, Oekraïne, cyberdreigingen en de gevolgen van klimaatverandering. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale weerbaarheid van Europese lidstaten.

De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB (netwerk- en informatiebeveiliging), die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Van Europese richtlijn naar de Cyberbeveiligingswet

Sinds januari 2023 werkt de Rijksoverheid aan de nationale implementatie door de richtlijn om te zetten naar Nederlandse wetgeving. De NIS2-richtlijn wordt geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). Het wetgevingstraject kent de volgende fasen:

Tussen 21 mei en 2 juli 2024 vindt de internetconsultatie van de Cyberbeveiligingswet plaats. Men kan de concept wettekst raadplegen en er commentaar of verbetersuggesties op formuleren via Internetconsultatie Cyberbeveiligingswet.

Welke criteria bepalen of een bedrijf onder de Cyberbeveiligingswet valt?

De sector waarin een bedrijf opereert én de grootte van het bedrijf bepalen of het NIS2-regime - en dus de Cyberbeveiligingswet - van toepassing is. Er zijn uitzonderingen op de hoofdregels van sector en grootte.

1. Kritieke sectoren 

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn (Wbni) vallen en op een aantal nieuwe sectoren. Het aantal publieke en private entiteiten dat onder de richtlijn valt, wordt dus groter.

De organisaties die onder de NIS2-richtlijn vallen - en daarmee ook onder de Cyberbeveiligingswet - behoren tot de volgende sectoren:

Sectoren bijlage 1

Sectoren bijlage 2

  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging / manufacturing

2. Grootte

De grootte van een bedrijf of organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:

Een organisatie is ‘groot’ als:

  1. Er minimaal 250 personen werkzaam zijn OF;
  2. Er sprake is van een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro.

Een organisatie is ‘middelgroot’ als:

  1. Er minimaal 50 personen werkzaam zijn OF;
  2. Er sprake is van een jaaromzet van meer dan 10 miljoen euro, en een balanstotaal van meer dan 10 miljoen euro.

Vervolgens wordt aan de hand van de genoemde sectoren in bijlage I en II van de Cyberbeveiligingswet bepaald of een organisatie als een ‘kritieke entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.

3. Uitzonderingen

Een uitzondering geldt voor de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinregistratiediensten. Al deze bedrijven en organisaties (zowel groot, middelgroot als micro/klein), dus ongeacht hun omvang, vallen direct onder de Cyberbeveiligingswet.

Op micro- en kleinbedrijven is de Cyberbeveiligingswet alleen van toepassing wanneer een vakminister die verantwoordelijk is voor een bepaalde sector er voor kiest om een micro- of kleinbedrijf aan te wijzen op basis van een risicobeoordeling.

Essentiële en belangrijke entiteiten

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de Cyberbeveiligingswet vallen als zij actief zijn in één van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Essentiële entiteiten zijn

  • grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel hierboven)
  • organisaties die als 'kritieke entiteit onder de Critical Enterprise Resilience Richtlijn (CER) vallen;
  • middelgrote aanbieders van openbare elektronische communicatienetwerken en -diensten zijn essentiële entiteiten;
  • de sector Overheid*, gekwalificeerde vertrouwensdienstverleners (QTSP), registers voor topleveldomeinnamen en verleners van domeinnaamregistratiediensten. Al deze bedrijven en organisaties (zowel groot, middelgroot als micro/klein) vallen direct onder de Cyberbeveiligingswet als essentiële entiteit.

* Overheidsinstanties

Een overheidsinstantie is een essentiële entiteit wanneer de entiteit voldoet aan de definitie en criteria voor een overheidsinstantie, zoals beschreven in artikel 6, onderdeel 35 van de richtlijn. Ministeries, provincies, gemeenten en waterschappen voldoen in elk geval aan deze criteria. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen is dit afhankelijk van het geval.
Overheidsinstanties die in hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, met inbegrip van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, zijn uitgesloten van het toepassingsgebied van de NIS2-richtlijn.

Belangrijke entiteiten zijn

Onderwijs

Het wetsvoorstel maakt het mogelijk om hoger onderwijsinstellingen onder de Cyberbeveiligingswet te brengen. De Minister van Onderwijs, Cultuur en Wetenschap kan dit bepalen via een ministeriele regeling.

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een NIS2-tool ontwikkeld waarmee bedrijven en organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen. Door de tool te doorlopen wordt ook duidelijk of het bedrijf volgens de Cyberbeveiligingswet wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. Ga naar de NIS2-tool om te kijken of jouw organisatie onder de Cyberbeveiligingswet valt.

 

Welke verplichtingen schrijft de NIS2-richtlijn voor?

  • Zorgplicht

    Het wetsvoorstel Cyberbeveiligingswet bevat een zorgplicht die bedrijven verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesysteem te beschermen. Bij de Cyberbeveiligingswet gaat het om de digitale risico’s. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.

  • Registratieplicht

    Entiteiten die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2. Er wordt door het Nationaal Cybersecurity Centrum (NCSC) gewerkt aan een online registratievoorziening waarin bedrijven en organisaties zichzelf registreren en aanmelden als NIS2-entiteit.

  • Meldplicht

    De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand levert. Voor het doen van meldingen wordt een centraal meldpunt ingericht door het NCSC. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

  • Toezicht

    Bedrijven en organisaties die onder de Cyberbeveiligingswet vallen, komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Wat kun je van de overheid verwachten?

De NIS2-richtlijn verplicht lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale dreigingen. Essentiële en belangrijke entiteiten moeten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

In Nederland wordt het CSIRT-takenpakket dat de NIS2-richtlijn benoemt, met name belegd bij verschillende sectorale CSIRT's. Zij leveren directe ondersteuning voor de sectoren. Daarnaast heeft het NCSC een rol als het nationale CSIRT voor sectoroverkoepelende taken.  

De ondersteuning van de sectorale CSIRT's is erop gericht om bedrijven en organisaties te helpen met de beveiliging van de netwerk- en informatiesystemen, informeren over bekende kwetsbaarheden en bedreigingen en bijstand te verlenen in het geval van een incident.

Wat kun je doen om je alvast voor te bereiden?

Vooruitlopend op de komst van de nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren.

10 zorgplichtmaatregelen in de Cbw

Wil je aan de slag met de 10 zorgplichtmaatregelen die de Cyberbeveiligingswet benoemt? Bekijk welke handvatten en voorbeelden we voor je klaar hebben staan. Vertrek vanaf het NIS2-Startpunt.

Heb je nog vragen over de NIS2-richtlijn?

We houden je via deze pagina, LinkedIn, X, Mastodon en de DTC Community op de hoogte van ontwikkelingen rondom de NIS2-richtlijn.

Hoewel veel vragen nu nog niet beantwoord kunnen worden, hoort het Digital Trust Center en de Rijksoverheid wel graag welke vragen jouw organisatie heeft. We bieden de mogelijkheid om je vraag te stellen en in contact te komen met andere ondernemers en cybersecurity professionals over de NIS2-richtlijn via de DTC Community en de themaruimte over NIS2.

Stel je vragen over NIS2 aan de DTC Community

Het DTC biedt ondernemers en professionals de mogelijkheid om vragen over NIS2 (Cyberbeveiligingswet) te stellen via de DTC Community en de NIS2-samenwerkruimte. Meld je aan, stel je vraag of deel je kennis met andere professionals die zich ook met deze cyberwet voor bedrijven in kritieke sectoren bezighouden. 

Breng NIS2 onder de aandacht in jouw netwerk

Wil je de Cyberbeveiligingswet (NIS2) onder de aandacht brengen in jouw netwerk? Gebruik dan deze NIS2-toolkit met verschillende webpagina's, afbeeldingen, tools en social media posts die je kunt gebruiken om NIS2 onder de aandacht te brengen. 

De NIS2-Quickscan

De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de Cyberbeveiligingswet. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de Cyberbeveiligingswet.

Bekijk het NIS2-webinar 

Voor alle bedrijven die meer willen weten over de reikwijdte van de nieuwe NIS2-wetgeving heeft het Ministerie van Economische Zaken en Klimaat een informatief webinar georganiseerd. Je kunt het webinar 'De impact van NIS2 op jouw organisatie' terugkijken op YouTube.