Tijdlijn Digitalisering

Status: In werking - 27 december 2022

Contact:

De Richtlijn Netwerk- en informatiebeveiliging (NIS2) (Richtlijn 2022/2555) streeft naar een hoog gezamenlijk niveau van cyberbeveiliging om de betrouwbaarheid en veiligheid van netwerk- en informatiesystemen te garanderen. Als reactie op toenemende cyberdreigingen en daarbij nieuwe soorten cyberdreigingen, update de NIS2 de Europese wetgeving op het gebied van cyberveiligheid. Zo verhoogt het, het algehele niveau van veiligheid.

Hoewel de NIS2-richtlijn vóór 17 oktober 2024 omgezet moet zijn in nationale wetgeving, zal Nederland deze deadline niet halen. De Rijksoverheid is momenteel nog bezig met het vormgeven van de Cyberbeveiligingswet (Cbw) die de Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen en de NIS2-richtlijn zal omzetten in nationale wetgeving. Het Europese grondbeginsel van rechtstreekse werking bepaalt echter dat bij non-implementatie een Europese richtlijn nog steeds van toepassing is. Meer informatie over de impact van de NIS2-richtlijn op gemeenten vindt u in deze praktijkvraag

De NIS2 herziet de NIS-richtlijn 2016/1148, in Nederland ook wel bekend als de NIB-richtlijn. Deze Richtlijn uit 2016 is omgezet in de Wet beveiliging netwerk- en informatiesystemen, die in november 2018 in werking trad. Ook de NIS-richtlijn bevatte beveiligingsverplichtingen voor belangrijke sectoren, maar had ten opzichte van de NIS2 een beperkte scope.

Regels

De nieuwe Richtlijn bevat regels op de volgende gebieden: 

  • Verplichtingen voor de lidstaten voor het vaststellen van nationale cyberbeveiligingsstrategieën en het instellen van bevoegde autoriteiten, centrale contactpunten en computer security response teams (CSIRT’s); 
  • Risicobeheersmaatregelen en rapportageverplichtingen voor kritieke organisaties en sectoren; 
  • Regels en verplichtingen over het delen van cyberbeveiligingsinformatie; 
  • Toezichts- en handhavingsverplichtingen voor de lidstaten. 

Kritieke entiteiten

De belangrijkste opdracht vanuit NIS2-richtlijn is voor alle kritieke entiteiten. Dat zijn organisaties en sectoren die essentieel zijn voor het functioneren van de maatschappij en economie, zoals elektriciteitsbedrijven, wegenautoriteiten en ziekenhuizen. Ook centrale en decentrale overheden worden beschouwd als kritieke entiteiten onder artikel 6 lid 35 van de Richtlijn. Bijlages I, II en de Richtlijn Betreffende de weerbaarheid van kritieke entiteiten (CER) (2022/2557) omvatten een complete lijst van kritieke entiteiten

Verplichtingen

Kritieke entiteiten, waar in Nederland decentrale overheden onder vallen, hebben verschillende verplichtingen onder de NIS2-richtlijn. 

  1. Registratieplicht: Kritieke entiteiten moeten zich registreren in een online entiteitenregister van het nationale CSIRT. In Nederland is dat het Nationaal Cyber Security Centrum (NCSC). 
  1. Zorgplicht: Kritieke entiteiten moeten zelf een risicoanalyse uitvoeren en op basis daarvan passende en evenredige technische, operationele en organisatorische maatregelen nemen ter beveiliging van hun netwerk- en informatiesystemen en ter voorkoming van incidenten. Voorbeelden van zulke maatregelen zijn back-upbeheer, training over cyberbeveiliging en multifactorauthenticatie (MFA). 
  1. Meldplicht: Kritieke entiteiten moeten significante incidenten binnen 24 uur melden aan het CSIRT en de toezichthouder via het centrale meldpunt van het NCSC. Een significant incident veroorzaakt een ernstige operationele verstoring van dienstverlening of aanzienlijke (im)materiële schade. Binnen 72 uur moet de kritieke entiteit een beoordeling van de ernst en gevolgen van het incident melden. Tot slot moet zij binnen één maand in detail rapporteren over de oorzaken en gevolgen van het incident en de genomen maatregelen. De verouderde Wbni introduceerde een CSIRT-stelsel van nationale en sectorale CSIRT’s. De sectorale CSIRT voor gemeenten is de Informatiebeveiligingsdienst (IBD). Voor de waterschappen is dat het CERT Watermanagement (CERT-WM). De provincies en de Rijksoverheid richten zich rechtstreeks tot het NCSC.  
  1. Toezicht: Kritieke entiteiten zijn onderworpen aan toezicht op de naleving van de verplichtingen uit de Cyberbeveiligingswet en NIS2-richtlijn, waaronder de registratie-, zorg-, en meldplicht. De Nederlandse toezichthouder is de Rijksinspectie Digitale Infrastructuur (RDI). De RDI werkt geheel onafhankelijk, ook van de CSIRT’s. 

Meer lezen

Nationaal Cyber Security Centrum, Informatiebrochure cyberbeveiligingswet  

Rijksoverheid, Rapport over CSIRT-stelsel

Zie de hele tijdlijn
Tijdlijn Digitalisering