FAQ Cyberbeveiligingswet (NIS2)

De NIS2 is een afkorting van de Network and Information Security 2-richtlijn.

De NIS2 is de opvolger van de eerste NIS1-richtlijn. In Nederland ook wel bekend als de NIB richtlijn (netwerk- en informatiebeveiliging). Deze is in Nederland in 2016 geïmplementeerd  in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Vind hier de Nederlandse vertaling van de NIS2-richtlijn.

De samenleving en economie worden steeds afhankelijker van digitale processen en netwerk- en informatiesystemen. Tegelijkertijd neemt de cyberdreiging toe. De NIS2-richtlijn heeft tot doel om de cyberbeveiliging in de EU verder te versterken. NIS2 wil dit bereiken door de verschillen tussen lidstaten op het gebied van de cyberbeveiligingseisen weg te nemen. Deze richtlijn is daarom gericht op een geharmoniseerde versterking van de cyberbeveiliging van de Europese lidstaten.

Weerbaarheid is het vermogen om een incident zoveel mogelijk te voorkomen, de impact te beperken of te beheersen, efficiënt en effectief te reageren op een incident en zo snel mogelijk te herstellen van een incident. Weerbaarheid gaat om alle soorten risico’s, onafhankelijk van de oorzaak (Denk bijvoorbeeld aan ongevallen, overstromingen, noodsituaties op het gebied van de volksgezondheid zoals een pandemie, terroristische misdrijven, criminele infiltratie of sabotage).

De richtlijn is op 16 januari 2023 in werking getreden voor de lidstaten. Sindsdien loopt er een implementatietermijn, die Nederland en de andere lidstaten 21 maanden de tijd geeft, om de richtlijn om te zetten naar nationale wetgeving. Dat betekent dat de nationale NIS2-implementatiewet, de Cyberbeveiligingswet, eigenlijk op 17 oktober 2024 in werking had moeten treden. Het implementeren van NIS2-richtlijn kost echter meer tijd dan verwacht, waardoor de deadline niet wordt gehaald. Al het nodige wordt gedaan om het implementatieproces zo vlot mogelijk te laten verlopen. De Cyberbeveiligingswet zal naar verwachting medio 2025 in werking treden.

In Nederland zal de NIS2-richtlijn geïmplementeerd worden door de Cyberbeveiligingswet (Cbw).

De Wbni wordt ingetrokken zodra de Cbw in werking treedt.

Aan de hand van in welke sector een organisatie actief is en wat de grootte van een organisatie is wordt bepaald of deze organisatie onder de NIS2-richtlijn valt, en daarmee ook onder de Cbw. Lees hier welke sectoren dat zijn. 

Voor overheidsorganisaties geldt een aantal specifieke bepalingen:

• De NIS2-richtlijn is van toepassing op Rijksoverheidsorganisaties, ongeacht hun omvang.
• Zbo’s worden tot Rijksoverheidsorganisaties gerekend. Voor zbo’s geldt alleen dat zij pas onder de reikwijdte van de Cbw vallen als zij aan de criteria van een overheidsinstantie uit de Cbw voldoen.
• Het kabinet heeft ervoor gekozen de NIS2-richtlijn ook van toepassing te laten zijn op lokale overheden, zoals gemeenten, provincies en waterschappen.
• De NIS2-richtlijn is niet van toepassing op overheidsorganisaties die activiteiten uitvoeren op het gebied van de nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Dit geldt onder andere voor de veiligheidsregio’s, het Ministerie van Defensie, het openbaar ministerie en de politie.
• De NIS2-richtlijn is niet van toepassing op de rechterlijke macht, de Eerste en Tweede Kamer en De Nederlandsche Bank.

Voor in Nederland gevestigde entiteiten die onder het toepassingsbereik van de NIS2-richtlijn vallen gelden de verplichtingen uit de NIS2-richtlijn vanaf het moment dat de Cbw in werking treedt. De Cbw zal naar verwachting medio 2025 in werking treden.

Voor de sectoren geldt dat een entiteit onder de jurisdictie van een lidstaat valt als de hoofdvestiging zich in die lidstaat bevindt. De hoofdvestiging is de vestiging van de onderneming in de EU-lidstaat waar de beslissingen met betrekking tot de maatregelen voor het beheer van cyberbeveiligingsrisico’s hoofdzakelijk worden genomen (zie artikel 26 van de NIS2-richtlijn). Mocht niet kunnen worden bepaald welke lidstaat dat is of mochten dergelijke besluiten niet in de Europese Unie worden genomen, wordt de hoofdvestiging geacht zich te bevinden in de lidstaat waar cyberbeveiligingsactiviteiten worden uitgevoerd. Mocht niet kunnen worden bepaald welke lidstaat dat is, wordt de hoofdvestiging geacht zich te bevinden in de lidstaat waar de betrokken entiteit de vestiging met het grootste aantal werknemers in de Europese Unie heeft.

Met betrekking tot de informatie-uitwisseling tussen CSIRTS, hoe wordt invulling gegeven aan het waarborgen van persoonsgegevens (Artikel 52, 53, 55, 56)?Hoe vindt toetsing plaats of systemen voldoen aan het noodzakelijke beveiligingsniveau? En over welke persoonsgegevens gaat het?

Op deze verwerking van persoonsgegevens is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent onder meer dat het CSIRT moet voldoen aan de daarin opgenomen verplichtingen met betrekking tot de beveiliging van de verwerking van persoonsgegevens, waaronder IP-adressen maar ook contactgegevens van degene die een melding doet. De Autoriteit Persoonsgegevens en de functionaris voor gegevensbescherming houden op de naleving hiervan toezicht.

De CSIRT kan in aanraking komen met persoonsgegevens die verwerkt worden door entiteiten aan wie ondersteuning wordt geboden. Dat kan een grote verscheidenheid aan persoonsgegevens zijn. Daarom is dat niet nauwkeuriger te beschrijven.

Voor sectorspecifieke vragen kunt u terecht bij het ministerie dat verantwoordelijk is voor de sector waarin uw organisatie actief is:

• Ministerie van Binnenlandse Zaken: NIS2-richtlijn NIS2-richtlijn - Digitale Overheid
• Ministerie van Economische Zaken: NIS2-startpunt | Digital Trust Center (Min. van EZ)
• Ministerie van Financiën: Verordening voor ICT-bescherming financiële sector | Financiële sector | Rijksoverheid.nl
• Ministerie van Infrastructuur en Waterstaat: De Cyberbeveiligingswet (Cbw/ NIS2 richtlijn) | Alle onderwerpen | Versterken cyberweerbaarheid
• Ministerie van Landbouw, Visserij, Voedsel en Natuur: Meer bedrijven in kritieke sectoren krijgen verplichtingen voor cyberbeveiliging (NIS2) | Ondernemersplein
• Ministerie van Volksgezondheid, Welzijn en Sport: Fysieke en digitale weerbaarheid | Data voor gezondheid

Entiteiten die onder de Cyberbeveiligingswet vallen hebben recht op advies en bijstand van een CSIRT. Deze ondersteuning kan verder bestaan uit informatie-uitwisseling, zoals het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen, en het verspreiden van informatie over cyberdreigingen, kwetsbaarheden en incidenten.

De belangrijkste verplichtingen onder de Cbw zijn:

• Zorgplicht –  Entiteiten zijn verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende en evenredige technische, operationele en organisatorische maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
• Bestuur – De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij  een opleiding te volgen.
• Registratieplicht – Entiteiten zijn verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin entiteiten zichzelf registreren en aanmelden als NIS2-entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op.
• Meldplicht - Entiteiten moeten significante incidenten onverwijld, en indien niet mogelijk, binnen 24 uur melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de entiteit aanzienlijk (kunnen) verstoren. Voor het doen van meldingen wordt een centraal meldpunt ingericht door het NCSC. Het Meldportaal dat voor het doel van significante meldingen wordt ingericht is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of van bijna-incidenten.

De invulling van deze verplichtingen worden in lagere regelgeving en beleid uitgewerkt. Deze invulling kan per sector verschillen.

Vooruitlopend op de komst van de Cyberbeveiligingswet kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de sites van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center staat bijvoorbeeld een aantal maatregelen die organisaties kunnen nemen om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. Ook kan er gedacht worden aan het:

• In kaart brengen van de gebruikte netwerk- en informatiesystemen Inventariseren en analyseren van risico’s.
• Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing
• Het organiseren van incident response. Identificeren van alternatieve toeleveringsketens.
• Bewustwording van personeel van risico’s en te nemen maatregelen.
• In kaart brengen van de eigen assets (dus de eigen netwerk- en informatiesystemen).
• Ook is het verstandig om budget en capaciteit te reserveren dat nodig is om aan de richtlijnen te voldoen.

In de markt verschijnen steeds meer NIS2-keurmerken en NIS2-certificaten, met als het doel aantoonbaar te maken dat marktpartijen aan bepaalde richtlijnen, eisen en normen (gesteld door de markt) voldoen. Hoe kijkt de Rijksoverheid hier tegen aan? 

Marktinitiatieven betreffen een vorm van zelfregulering, waarbij een keurmerk als instrument wordt ingezet. Zelfregulering kan onder de juiste randvoorwaarden bijdragen aan het behalen van een maatschappelijk doel. Keurmerken hebben echter geen zelfstandige status in relatie tot het voldoen aan de wettelijke vereisten. Het is aan de toezichthouder om te bezien of een partij aan de wet voldoet. Er wordt dus vanuit de Rijksoverheid geen uitspraak gedaan over dit soort initiatieven.

Vanuit de Rijksoverheid (NCSC, DTC, RDI) worden voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet wel verschillende tools en kennisproducten opgesteld die partijen kunnen helpen bij het voldoen aan de vereisten uit de zorgplicht van de Cyberbeveiligingswet. Deze tools hebben geen juridische status en zijn bedoeld als hulpmiddel. Het is aan de toezichthouders om te bezien of een partij aan de wet voldoet.

Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Hoe toezicht precies ingericht gaat worden, wordt momenteel nog aan gewerkt. Ook de precieze uitwerking van de verplichtingen, zoals voortkomend uit de NIS2-richtlijn, ligt nog ter besluitvorming voor.

De essentiële en belangrijke entiteiten hebben een wettelijke verplichting om gegevens aan te leveren voor een zogenoemd entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid van belangrijke en essentiële diensten en organisaties.

Tegelijkertijd moeten bevoegde autoriteiten, toezichthouders en CSIRT’s over deze gegevens kunnen beschikken voor het uitoefenen van hun wettelijke taken. Om ervoor te zorgen dat entiteiten deze informatie laagdrempelig kunnen aanleveren en beheren is ervoor gekozen om een registratiemechanisme in te richten bij de Minister van Justitie en Veiligheid. Via een technische oplossing wordt gewaarborgd dat bevoegde autoriteiten, toezichthouders en CSIRT’s uitsluitend toegang krijgen tot de gegevens uit het register voor zover zij deze nodig hebben voor het uitvoeren van hun wettelijke taken onder deze richtlijn. Op die manier wordt de groep die toegang heeft tot deze gegevens zo beperkt mogelijk gehouden. Kijk hier voor meer informatie over de NIS2-registratie.

Essentiele entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, kunnen zich per 17 oktober 2024 op vrijwillige basis registreren bij het NCSC. Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingsdienst verplicht. Om ervoor te zorgen dat entiteiten de informatie voor de registratie laagdrempelig kunnen aanleveren en beheren, heeft het kabinet ervoor gekozen om een centrale registratiefunctionaliteit in te richten bij het NCSC. In dit registratieportaal is het ook mogelijk incidenten vrijwillig te melden. Kijk hier voor meer informatie over de NIS2-registratie.

De hele entiteit moet voldoen aan de eisen uit de Cyberbeveiligingswet. Deze wet geldt ook voor de onderdelen van de organisatie die andere producten of diensten leveren. Ook voor die organisatieonderdelen geldt de plicht om (passende en evenredige) maatregelen te treffen om de weerbaarheid te waarborgen. Ook geldt in beginsel een meldplicht voor een incident bij dat andere organisatieonderdeel. Het is evenwel goed denkbaar dat incidenten bij die andere organisatieonderdelen nooit significante gevolgen hebben voor de entiteit of de maatschappij. In dat geval hoeft een incident niet te worden gemeld.

De NIS1-richtlijn wordt ingetrokken met ingang van 17 oktober 2024 en vanaf deze datum is de NIS2-richtlijn van toepassing in de Europese Unie. Verwijzingen naar de NIS1-richtlijn, zoals bijvoorbeeld in de Wbni, kunnen dan ook beschouwd worden als verwijzingen naar de NIS2-richtlijn. Dit staat vermeld in artikel 44 van de NIS2-richtlijn. In Nederland zal de Wbni pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht.

De Wbni zal pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht, voor zover zij niet in strijd is met de NIS2-richtlijn.

Voor een entiteit die nu al onder de Wbni valt, blijven de in die wet geregelde verplichtingen gelden totdat deze wet wordt ingetrokken. Voor een entiteit die niet onder de Wbni valt, maar straks wel onder de Cyberbeveiligingswet, zijn er tot het moment van inwerkingtreding van de Cyberbeveiligingswet nog geen verplichtingen. De verplichtingen uit de Cyberbeveiligingswet evenals het toezicht daarop zullen ingaan op het moment van inwerkingtreding van de Cyberbeveiligingswet. Wel wordt entiteiten aangeraden om zich alvast voor te bereiden op de komst van de Cyberbeveiligingswet. Wij hebben meerdere adviesproducten gepubliceerd die je daarbij kunnen helpen. 

Entiteiten die onder de Wbni vallen behouden hun rechten, zoals de bijstand van het CSIRT, totdat de Cyberbeveiligingswet in werking treedt. De NIS2-richtlijn kent een soortgelijk recht op onder meer bijstand door een CSIRT. Entiteiten die onder de NIS2-richtlijn vallen, kunnen na 17 oktober 2024 een beroep doen op deze bijstand door een CSIRT. De bijstand bestaat in ieder geval uit het ondersteunen van de entiteit op het moment dat er sprake is van een dreiging of incident in een netwerk- en informatiesysteem. Het kan zijn dat entiteiten zowel onder de Wbni als van rechtswege onder de NIS2-richtlijn vallen. Die entiteiten kunnen vanaf 17 oktober 2024 op grond van zowel de Wbni als de NIS2-richtlijn een beroep doen op bijstand door een CSIRT. Het NCSC kan als CSIRT prioriteren op basis van een risicoafweging. Dat betekent dat wij op verzoek en afhankelijk van het risico én de impact voor de digitale weerbaarheid, onze diensten leveren. Lees hier meer over de producten en diensten die wij vanaf 17 oktober leveren aan organisaties die van rechtswege onder de NIS2-richtlijn vallen. 

Entiteiten die van rechtswege onder de NIS2-richtlijn vallen, hebben pas een zorg- en meldplicht op het moment dat de Cyberbeveiligingswet in werking treedt en zij onder de jurisdictie van Nederland vallen. Nederlandse toezichthouders zullen dus ook niet, voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet, toezien op de naleving van deze verplichtingen.

Voor onderstaande entiteiten kan de hoofdvestiging van een entiteit relevant zijn voor de vraag onder de jurisdictie van welke lidstaat die entiteit valt (zie artikel 26 NIS2-richtlijn):  

• DNS-dienstverleners, verleners van domeinregistratiediensten, cloud computing service providers, data centre service providers, content delivery network providers, aanbieders van vertrouwensdienstverleners.
• Managed service providers, managed security service providers
• Aanbieders van online marktplaatsen, online zoekmachines en sociale media platforms

Deze entiteiten kunnen daarom wel al eerder te maken krijgen met regelgeving van een andere lidstaat.

NIS2-entiteiten zijn vanaf de inwerkingtreding van de Cyberbeveiligingswet verplicht om bepaalde gegevens te delen en actueel te houden, zoals hun contactgegevens en de sector(en) waarin zij actief zijn. Met het oog daarop is een centraal registratiepunt ontwikkeld. Dit registratiepunt wordt beheerd door het Nationaal Cyber Security Centrum op Mijn.NCSC.nl 

Vanaf 17 oktober 2024 is het voor entiteiten die van rechtswege onder de NIS2-richtlijn vallen mogelijk zich, vooruitlopend op de inwerkingtreding van de Cyberbeveiligingswet, vrijwillig te registreren. Benadrukt wordt dat de verplichting tot registratie voor entiteiten pas ontstaat op het moment dat de Cyberbeveiligingswet in werking treedt. Registeren kan op mijn.ncsc.nl. Lees hier meer informatie over het registratieproces. Bekijk de checklist voor een efficiente doorloop van de registratie.