NIS2 – cybersecurityrichtlijn: Europese en nationale ontwikkelingen

Toezicht op cybersecuritybeleid

Op dit moment – februari 2023 – wordt door de volgende autoriteiten toezicht gehouden op de Wet beveiliging netwerk- en informatiesystemen (Wbni), dat is de Nederlandse implementatie van NIS1-richtlijn (zie hier).

• Rijksinspectie Digitale Infrastructuur (RDI per 1 januari 2023)
• De Nederlandsche Bank
• Inspectie Leefomgeving en Transport
• Inspectie Gezondheidszorg en Jeugd

Deze autoriteiten zijn nú aangewezen als toezichthouder voor hun specifieke sectoren. In artikel 8 van de NIS2 is bepaald dat elke lidstaat zelf over gaat tot het aanwijzen óf instellen van een of meer bevoegde autoriteiten. Die autoriteiten zijn dan verantwoordelijk voor cyberbeveiliging en belast met de toezichthoudende taken uit de NIS2-richtlijn. De reeds bestaande en mogelijk nieuwe toezichthouders zullen hun plek krijgen in de Wbni. Het is voor alle bestaande én nieuwe sectoren dus goed om de ontwikkelingen op dat gebied in de gaten te houden, om te bepalen wie straks uw cybersecuritybeleid komt toetsen.

Wbni steeds breder ingezet

Bijzonder in dat kader is dat de Wbni meer (en steeds meer) omvat dan de implementatie van de Europese cybersecurityregels. Zo heeft de nationale wetgever ook andere sectoren aangewezen die niet in de NIS-richtlijn staan. Denk hierbij bijvoorbeeld aan de sectoren ‘keren en beheren’ en ‘nucleair’. De Wbni wordt in die zin gebruikt voor meer onderdelen dan de implementatie de NIS1- en NIS2-richtlijn.

Naast de sectoren die als vitaal worden aangemerkt, voorziet de Wbni ook in regels die gaan over de niet-vitale sectoren. Die regels gaan niet over beveiligingseisen waar zij aan moeten voldoen, maar over een wettelijke grondslag om dreigingsinformatie te delen.

Tot 1 december 2022 mocht het Nationaal Cyber Security Centrum (NCSC) namelijk niet direct beschikbare dreigingsinformatie delen met bedrijven buiten de vitale sectoren die onder het NCSC vallen. Vanaf 1 december 2022 is een wetswijziging van kracht geworden die dit wel mogelijk maakt. Het is dus mogelijk dat uw bedrijf – indien geen onderdeel van een vitale sector – toch hele specifieke dreigingsinformatie kan ontvangen van het NCSC over een mogelijk incident.

Daarnaast is per 1 december 2022 ook een bepaling (artikel 20 lid 2 sub a Wbni) van kracht geworden die het mogelijk maakt voor het NCSC om dreigingsinformatie te delen met zogenaamde ‘schakelorganisaties’.

Deze organisaties zijn via de Minister van Justitie en Veiligheid en het NCSC aangewezen als schakelorganisaties. Dat zijn op dit moment – februari 2023 – de volgende organisaties.

• het Digital Trust Center, onderdeel van het Ministerie van Economische Zaken en Klimaat;
• de Vereniging Abuse Information Exchange;
• de Stichting Nationale Beheersorganisatie Internet Providers;
• de Stichting Cyber Weerbaarheidscentrum Brainport;
• de Vereniging Cyberveilig Nederland;
• de Stichting Connect2Trust;
• de Stichting FERM.

Samenvattend; de ontwikkelingen volgen elkaar in een snel tempo op. Helaas is dat ook hard nodig omdat de dreigingen niet denkbeeldig zijn maar reëel. Het cybersecurity-landschap juridiseert dus net zo snel. Als u hierover meer wilt weten, op grote lijnen, meer in detail of specifiek wat dit voor uw organisatie betekent, dan staan wij voor u klaar.