Uitvoering overgangsperiode NIS2-richtlijn naar Cyberbeveiligingswet
Op 17 oktober 2024 treedt de nieuwe Europese netwerk- en informatiebeveiliging richtlijn (NIS2-richtlijn) in werking. De Europese NIS2-richtlijn wordt geïmplementeerd in nationale wetgeving, de Cyberbeveiligingswet (Cbw). Naar verwachting zal de Cbw in het derde kwartaal van 2025 in werking treden. Over de gevolgen van het niet-tijdig omzetten van de NIS2-richtlijn naar de Cbw verscheen vandaag een Kamerbrief.
Situatie vanaf 17 oktober
Tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cbw gelden de plichten, zoals de zorgplicht, meldplicht en registratieplicht, nog niet. Wel hebben organisaties die van rechtswege vallen onder de NIS2-richtlijn in die periode enkele rechten door de rechtstreekse werking van een aantal bepalingen uit de richtlijn.
Dienstverlening NCSC
Het NCSC krijgt onder de Cbw de rol van Nationale en Sectorale CSIRT en voert in dat kader vanaf 17 oktober reeds een aantal taken en activiteiten uit. Dit doen wij voor onze huidige doelgroepen die vallen onder de Wbni, inclusief de organisaties van CSIRT-DSP. Nieuw voor ons zijn de organisaties die nu niet vallen onder de Wbni, maar straks wel onder de Cbw. Voor deze laatste categorie hanteren wij een risico-gestuurde benadering. Dat betekent dat wij op verzoek en afhankelijk van het risico én de impact voor de digitale weerbaarheid, onze diensten leveren. Het gaat dan om onderstaande activiteiten en diensten.
- Op verzoek monitoren van netwerk- en informatiesystemen. Ook geeft het NCSC advies aan organisaties hoe ze het monitoren van systemen zelf kunnen inrichten;
- Bijstand verlenen in geval van een incident. De specifieke bijstand verschilt per situatie en is afhankelijk van onder andere de (potentiële) impact. De focus ligt ten alle tijden op het beperken van schade en het geven van advies ten behoeve van vlot herstel;
- Meldingen van incidenten of bijna-incidenten ontvangen en verwerken. De meldplicht geldt pas vanaf de inwerkingtreding van de Cbw. Toch worden organisaties nadrukkelijk uitgenodigd meldingen te maken, zodat ook andere organisaties zich beter kunnen wapenen tegen digitale aanvallen van buitenaf. Melden is vanaf 17 oktober mogelijk via een webformulier op www.ncsc.nl, spoedig daarna via een centrale meldfunctionaliteit op mijn.ncsc.nl;
- Vroegtijdige waarschuwingen verstrekken en informatie delen over cyberdreigingen, kwetsbaarheden en incidenten. NIS2-entiteiten kunnen zich registeren op mijn.ncsc.nl voor geautomatiseerde data feeds met kwetsbaarhedeninformatie, doelwit- en slachtoffernotificatie, dreigingsinformatie en beveiligingsadviezen. De beveiligingsadviezen bevatten informatie over specifieke incident en, waar mogelijk, een handelingsperspectief voor organisaties. De NIS2-registratieplicht gaat pas in vanaf de inwerkingtreding van de Cbw.
Werk aan weerbaarheid
Hoewel de nationale wet nog niet van kracht is, raadt het NCSC aan altijd te werken aan de digitale weerbaarheid van de organisatie. De dreiging blijft immers onverminderd groot. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de Cyberbeveiligingswet. Bekijk hier welke stappen je al kunt zetten.
Meer informatie
Binnenkort publiceren wij een verdiepende toelichting op de uitvoering van bovenstaande taken. Houd hiervoor onze website in de gaten. Bekijk hier ook de vragen en antwoorden over de niet-tijdige omzetting van de NIS2-richtlijn naar nationale wetgeving.