De Richtlijn netwerk- en informatiebeveiliging (NIS2) (Richtlijn 2022/2555) streeft naar een hoog gezamenlijk niveau van cyberbeveiliging om de betrouwbaarheid en veiligheid van netwerk- en informatiesystemen te garanderen. Daarbij verwijst de Richtlijn voor het begrip ‘cyberbeveiliging’ naar artikel 2 lid 1 van de Cyberbeveiligingsverordening (CSA) (Verordening 2019/881). Die Verordening definieert dit als “de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die getroffen worden door cyberdreigingen, te beschermen.”
Op hoofdlijnen geeft NIS2 de volgende regels:
- Verplichtingen voor de lidstaten voor het vaststellen van nationale cyberbeveiligingsstrategieën en het instellen van bevoegde autoriteiten, centrale contactpunten en computer security response teams (CSIRT’s);
- Risicobeheersmaatregelen en rapportageverplichtingen voor essentiële entiteiten en kritieke sectoren;
- Regels over het delen van cyberbeveiligingsinformatie;
- Toezichts- en handhavingsverplichtingen voor de lidstaten.
Decentrale overheden worden essentiële entiteiten onder NIS2
NIS2 geeft regels aan lidstaten over alle entiteiten die actief zijn in (zeer) kritieke sectoren. De overheid staat als zeer kritieke sector genoemd onder nr. 10 van de tabel uit Bijlage I. Centrale overheidsinstanties vallen onder artikel 2 lid 2 onder f onder i) van NIS2. Lokale overheidsinstanties hebben volgens artikel 2 lid 5 onder a) eerst een besluit van de lidstaat nodig. Verder onderscheidt NIS2 in verband met het toezicht en de handhaving in artikel 3 lid 1 en 2 entiteiten naar hun mate van crucialiteit:
- belangrijke entiteiten staan uitsluitend bloot aan toezicht achteraf.
- essentiële entiteiten staan bloot aan toezicht, zowel vooraf als achteraf.
Centrale overheidsinstanties zijn per se essentiële entiteiten. Eén en ander houdt verband met de CER richtlijn (Richtlijn 2022/2557), over de algehele weerbaarheid van kritieke entiteiten. Die richtlijn kwalificeert de centrale overheid ook als kritieke entiteit. Het huidige Cyberbeveiligingswetsvoorstel voegt hieraan toe dat provincies, gemeenten en waterschappen aangemerkt zullen worden als essentiële entiteiten.
Zorgplicht (risicobeheersmaatregelen)
Onder artikel 21 van NIS2 moeten essentiële entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen ter beveiliging van de netwerk- en informatiesystemen en ter voorkoming van cyberincidenten. Dit betreft minimale maatregelen waaronder risicoanalyses, back-upbeheer, de beveiliging van de toeleveringsketen, training over cyberbeveiliging en multifactorauthenticatie. Deze moeten afgestemd zijn op:
- de risico’s waaraan de essentiële entiteit bloot staat;
- de omvang van de essentiële entiteit;
- de kans op cyberincidenten; en
- de ernst van zulke mogelijke incidenten.
Meld-/rapportageverplichtingen
Onder artikel 23 lid 1 moeten essentiële entiteiten significante incidenten melden bij de betreffende CSIRT of, indien van toepassing, de bevoegde autoriteit die de melding doorstuurt naar het CSIRT. Een incident is significant wanneer het kan leiden tot een ernstige operationele verstoring van dienstverlening of financiële verliezen voor de essentiële entiteit. Een incident is ook significant onder artikel 23 lid 3 wanneer het aanzienlijke (im)materiële schade veroorzaakt aan natuurlijke of rechtspersonen.
Daarnaast moet de essentiële entiteit de gebruikers van haar diensten informeren over incidenten en de mogelijke impact op de dienstverlening. Artikel 23 lid 4 zet de stappen voor de rapportage uiteen:
- Binnen 24 uur na kennisneming van het significante incident, vroegtijdig waarschuwen voor (de gevolgen van) het incident. Als antwoord op deze waarschuwing kan het betrokken CSIRT eerste feedback en op verzoek advies en technische ondersteuning geven (artikel 23 lid 5).
- Binnen 72 uur na kennisneming van het incident een incidentmelding indienen met onder andere een initiële beoordeling over de ernst en gevolgen van het incident.
- Uiterlijk één maand na indiening van de incidentmelding een eindverslag indienen met daarin een nauwkeurige beschrijving van de ernst, gevolgen en waarschijnlijke oorzaak van het incident, de toegepaste en lopende risicobeperkende maatregelen, en de eventueel grensoverschrijdende gevolgen van het incident.
Registratie
Artikel 3 lid 3 verplicht de lidstaten om uiterlijk 17 april 2025 een lijst op te stellen van onder andere essentiële entiteiten. Daartoe moeten essentiële entiteiten volgens artikel 3 lid 4 de bevoegde autoriteiten voorzien van informatie en mogen volgens overweging 18 uit de preambule van de NIS2 nationale mechanismen bestaan om registratie te kunnen doen. In Nederland verloopt de registratie via het Nationaal Cyber Security Centrum (NCSC). Die heeft hier een Checklist voor de registratie van entiteiten voor gepubliceerd.
CSIRT’s en bevoegde toezichthouders
Onder artikel 31 en 32 zijn essentiële entiteiten onderworpen aan toezicht op de naleving van de verplichtingen onder de NIS2-richtlijn. De doorverwijsboom Cbw-organisaties van het NCSC geeft overzicht over welke ministeries, CSIRT’s en toezichthouders voor de provincies, gemeenten en waterschappen gelden:
| Decentrale overheid | Sectorspecifieke vragen en aanwijzingen | Ondersteuning bij incidenten | Toezicht en naleving |
| Provincies | Ministerie van BZK | NCSC | RDI |
| Waterschappen | Ministerie van I&W | CERT WaterManagement | ILT |
| Gemeentes | Ministerie van BZK | IBD van de VNG | RDI |
| Gemeenschappelijke regelingen | Ministerie van BZK | NCSC/IBD van de VNG* | RDI |
| Bronnen – Doorverwijsboom Cbw-organisaties, NCSC. – Q&A’s voor gemeenten over NIS2, Cyberbeveiligingswet en BIO2, IBD van de VNG. – Concept-Cyberbeveiligingsregeling sector overheid, Staatssecretaris BZK. * De IBD geldt als CSIRT als minimaal één van de deelnemende partijen in de gemeenschappelijke regeling een gemeente betreft. | |||
Implementatie
Hoewel NIS2 uiterlijk 17 oktober 2024 omgezet had moeten worden in nationale wetgeving, zit het voorstel voor de Cyberbeveiligingswet dat dit moet bewerkstelligen nog in wetgevingsproces bij de Tweede Kamer.
Het is raadzaam dat decentrale overheden zelfstandig voldoen aan de NIS2-verplichtingen voor essentiële entiteiten onder artikel 3 lid 1 en 2 en Bijlage I. De Richtlijn is namelijk sinds 18 oktober 2024 van toepassing is en het wetsvoorstel voor de Cbw beschouwt provincies, waterschappen en gemeenten als essentiële entiteiten. Daarbij bepaalt het Europese grondbeginsel van rechtstreekse werking dat particulieren bij implementatiegebrek voldoende duidelijke en onvoorwaardelijke richtlijnbepalingen kunnen inroepen tegenover een lidstaat. Onder NIS2 kan dat dus een decentrale overheid zijn. Eerder onderzocht KED de verplichtingen van decentrale overheden onder de NIS2-richtlijn bij implementatiegebrek.
Meer informatie
- Praktijkvraag: Moeten decentrale overheden zelfstandig en rechtstreeks aan de NIS2 verplichtingen voldoen? Kenniscenturm Europa Decentraal
- Doorverwijsboom Cbw-organisaties Nederlands Cyberbeveiligingscentrum (NCSC)
- Voorstel Cyberbeveiligingswet, Kamerstuk 36 764, Tweede Kamer der Staten-Generaal.
- Informatiebrochure cyberbeveiligingswet, Nationaal Cyber Security Centrum
- Rapport over CSIRT-stelsel, Rijksoverheid.
- Cyberbeveiligingswet, Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)
