NIS-richtlijn
De Europese Richtlijn (EU) 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, beter bekend als de ‘NIS-richtlijn’, was het eerste stuk EU-wetgeving op het gebied van cyberbeveiliging. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2018. Hoewel de NIS-richtlijn de cyberbeveiligingscapaciteiten van de EU-lidstaten sterk heeft vergroot, biedt de huidige richtlijn onvoldoende antwoord op de toenemende dreigingen die verband houden met de verdere digitalisering van de maatschappij, waaronder de sterke toename van cyberaanvallen.
Nieuwe richtlijn: NIS2
In december 2020 heeft de Europese Commissie daarom een voorstel ingediend, dat een jaar later grotendeels door de Raad is overgenomen[2], om de NIS-richtlijn te vervangen. In de nieuwe NIS2-richtlijn moeten de beveiligingseisen aangescherpt, de beveiliging van toeleveringsketens aangepakt de rapportageverplichtingen gestroomlijnd en strengere toezichtmaatregelen en handhavingsvereisten ingevoerd worden, waaronder geharmoniseerde sancties in de hele EU. Het voorstel kent ook een uitgebreid toepassingsgebied, waarbij meer entiteiten en sectoren worden verplicht maatregelen te nemen. Dit alles zou het niveau van cyberbeveiliging in Europa op de langere termijn moeten verhogen.
Werkingssfeer uitgebreid
De huidige NIS-richtlijn heeft tot doel de cyberbeveiliging te versterken in sectoren die sterk afhankelijk zijn van informatietechnologie, met een focus op de bescherming van kritische infrastructuur (energie, vervoer, infrastructuur voor banken en de financiële markt, gezondheid, drinkwater, digitale infrastructuur) en bepaalde digitale dienstverleners in de EU-lidstaten.
De voorgestelde NIS2-richtlijn voorziet in een ruimere dekking van sectoren en diensten die van vitaal belang worden geacht voor de Europese interne markt. Naast de genoemde sectoren die al onder de huidige richtlijn vallen, worden nieuwe sectoren in het toepassingsgebied opgenomen, waaronder telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, bepaalde industrieën, overheidsdiensten, platforms voor sociale netwerken, ruimtevaart, afvalbeheer en afvalwaterbeheer.[3] Verder zullen entiteiten van het openbaar bestuur van centrale overheden onder NIS2-richtlijn vallen, en kunnen lidstaten besluiten om het toepassingsgebied uit te breiden tot soortgelijke entiteiten op regionaal en lokaal niveau.
‘Size-cap’
Voorts wordt in het voorstel, in plaats van de huidige identificatie van individuele aanbieders op nationaal niveau, een ‘size-cap’ ingevoerd die binnen de genoemde sectoren alle middelgrote en grote ondernemingen bestrijkt. Kleinere entiteiten zijn vrijgesteld, tenzij zij een hoog veiligheidsrisicoprofiel hebben. De Raad heeft bij de bespreking van het voorstel aanvullende criteria toegevoegd om te bepalen welke entiteiten onder NIS2-richtlijn moeten vallen.
Extraterritoriale werking uitgebreid
Ten slotte wordt de extraterritoriale werking van de richtlijn uitgebreid. Daardoor vallen aanbieders van digitale infrastructuur of digitale diensten die weliswaar geen Europese vestiging hebben, maar wel diensten die onder de NIS2-richlijn vallen aanbieden in de EU, ook onder het toepassingsgebied van de voorgestelde NIS2-richtlijn. Dit zal onder meer gevolgen hebben voor aanbieders van cloud computing-diensten, aanbieders van datacenterdiensten en andere online dienstverleners zoals marktplaatsen, zoekmachines en sociale netwerken.
Essentiële en belangrijke entiteiten
In de voorgestelde NIS2-richtlijn wordt niet langer een onderscheid gemaakt tussen aanbieders van essentiële diensten en aanbieders van digitale diensten, maar worden entiteiten ingedeeld in ‘Essentieel’ en ‘Belangrijk’. Voor zowel Essentiële als Belangrijke entiteiten zullen dezelfde eisen inzake cyberbeveiligingsbeheer en rapportage gelden, maar de toezichts- en sanctieregelingen zullen verschillen. Terwijl voor Essentiële entiteiten een volwaardig ex ante toezichtsregime zal gelden, geldt voor Belangrijke entiteiten een lichter ex post toezicht in het geval van bewijzen of aanwijzingen van niet-naleving.
Governance en rapportage
De nieuwe regels voeren voor het eerst expliciete governance-vereisten in, op grond waarvan het bestuur van entiteiten die vallen binnen het toepassingsbereik van de NIS2-richtlijn maatregelen voor het managen van cyberbeveiligingsrisico\'s moet goedkeuren en daarop toezicht moet houden. Ook moet het bestuur cyberbeveiligingstrainingen volgen.
Minimale beveiligingselementen
Wat het cyberbeveiligingsrisicobeheer zelf betreft, wordt in de voorgestelde herziening de open norm gehandhaafd dat, gelet op de stand van de techniek en het aanwezige risico, ‘passende’ en ‘evenredige’ maatregelen moeten worden genomen. Nieuw is dat een aantal minimale basisbeveiligingselementen wordt toegevoegd waarin in elk geval moet worden voorzien.
Belangrijk is dat de voorgestelde NIS2-richtlijn in afwijking van de huidige NIS-richtlijn expliciete eisen invoert voor het beheer van risico\'s van derden in toeleveringsketens en relaties met leveranciers. Daarmee wordt een van de belangrijkste uitdagingen op het gebied van cyberbeveiliging van dit moment aangepakt. Het voorstel bepaalt dat de Europese Commissie de technische en methodologische specificaties van de minimumeisen zal vaststellen, en voorziet dat entiteiten kunnen (en bepaalde Essentiële entiteiten: moeten) aantonen dat zij aan de eisen voldoen door een cyberbeveiligingscertificering te verkrijgen ingevolge de recente EU Cybersecurity Act.
Rapportage
Ook worden rapportageverplichtingen uitgebreid. Zo zullen alle Essentiële en Belangrijke entiteiten moeten rapporteren over incidenten die een aanzienlijke impact hebben op de levering van hun diensten. Naar aanleiding van de bezorgdheid van de lidstaten dat dit de onder de NIS2-richtlijn vallende entiteiten te zwaar zou belasten en tot ‘overrapportage’ zou leiden, is de verplichte melding van significante cyberdreigingen aan de bevoegde autoriteiten of de Computer Security Incident Response Teams (CSIRT) inmiddels uit het voorstel gehaald.
Hogere boetes
Het meest in het oog springende element van het pakket aan nieuwe maatregelen is misschien dat de EU-lidstaten aanzienlijk hogere administratieve boetes kunnen opleggen die kunnen oplopen tot ten minste 10 miljoen Euro of 2% van de totale wereldwijde omzet (op ondernemingsniveau), naargelang welk bedrag het hoogst is, met de intentie dat hierop ook strenger zal worden gehandhaafd. In overeenstemming met de strengere handhavingsregeling die op hen van toepassing is, kunnen voor Essentiële entiteiten die in gebreke blijven, ook vergunningen worden geschorst of kan het hoger management worden geschorst in de uitoefening van zijn leidinggevende functies (telkens totdat de nodige corrigerende maatregelen zijn genomen). Het is nog de vraag of dit onder Nederlands recht zal leiden tot mogelijke bestuurdersaansprakelijkheid.
Openbaarmaking van kwetsbaarheden
Belangrijk is ten slotte dat de voorgestelde NIS2-richtlijn gecoördineerde praktijken voor de openbaarmaking van kwetsbaarheden introduceert, waarbij een entiteit buitenstaanders (vaak ‘ethische hackers’) uitnodigt om kwetsbaarheden te melden op een manier die het mogelijk maakt een diagnose te stellen en de kwetsbaarheid te verhelpen voordat deze aan derden wordt bekendgemaakt (en mogelijk door derden wordt misbruikt). Daartoe zou het EU-cyberbeveiligingsagentschap ENISA een Europees kwetsbaarheidsregister moeten ontwikkelen en bijhouden om Belangrijke en Essentiële entiteiten en hun leveranciers van netwerk- en informatiesystemen in staat te stellen kwetsbaarheden in ICT-producten of ICT-diensten bekend te maken en te registreren.
Sectorspecifieke regelgeving
Wordt de voorgestelde NIS2-richtlijn goedgekeurd, dan zal deze van toepassing zijn naast sectorspecifieke wetgeving. De belangrijkste daarvan om hier te vermelden is de onlangs voorgestelde ‘DORA’-verordening inzake digitale operationele veerkracht voor de financiële sector.
Nationale wetgeving
Omdat het om een richtlijn gaat, moet deze door de EU-lidstaten in hun nationale wetgeving worden omgezet. De termijn hiervoor is twee jaar na de datum van inwerkingtreding van de richtlijn, die voorlopig niet voor medio 2023 wordt verwacht.