Twee nieuwe richtlijnen vanuit de Europese Unie (EU) zetten beveiliging bovenaan de agenda. De NIS2-richtlijn geeft regels over cybersecurity, en de CER-richtlijn over fysieke beveiliging. In Nederland worden deze richtlijnen nog geïmplementeerd in de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wetten zijn nog niet aangenomen, maar zijn nog in de consultatiefase.
De NIS2-richtlijn en de Cbw in een notendop
De Network and Information Security 2-richtlijn (NIS2) verplicht cybersecurity-maatregelen. In essentie komt de NIS2-richtlijn neer op het volgende:
-
Bedrijven moeten maatregelen nemen voor cyberveiligheid
-
Bedrijven moeten cyberincidenten melden
-
Bedrijven moeten rapporten schrijven over cyberincidenten en hoe zij deze hebben opgelost
-
Soms is enkel gecertificeerde ICT toegestaan
-
De toezichthouder kan boetes opleggen voor slechte cyberveiligheid
Het doel is om ketendefecten te voorkomen. De afgelopen jaren zien we steeds meer dat dienstverlening grensoverschrijdend en onderling afhankelijk is. Die onderlinge afhankelijkheid houdt in dat elke verstoring, zelfs wanneer deze aanvankelijk beperkt blijft tot één entiteit of één sector, alsnog een algemeen cascade-effect kan hebben, met mogelijk grote gevolgen op een EU-brede schaal.
Dat betekent werk aan de winkel voor grote bedrijven of overheidsinstellingen in belangrijke sectoren. De NIS2-richtlijn is van toepassing op een organisatie als er wordt voldaan aan 2 criteria:
1. De organisatie werkt in een van de sectoren die worden genoemd in de NIS2-richtlijn:
-
Energie (elektriciteit, oliepijpleidingen, stadverwarming, aardgas)
-
Vervoer (luchtvaart, spoorweg, water en wegen)
-
Banken en financiële markt
-
Zorg
-
Water (drinkwater en afvalwater)
-
Digitale infrastructuur (cloudleveranicers, internetknooppunten, onlinezoekmachines, etc.)
-
Overheid
-
Ruimtevaart
-
Post
-
Afvalstoffenbeheer
-
Chemicaliën
-
Levensmiddelen
-
Fabrikanten van elektronica, machines, voertuigen en medische hulpmiddelen
-
Onderzoek
2. De organisatie voldoet aan het omvangscriterium:
-
De organisatie is een “middelgrote onderneming” (minstens 50 werknemers, en omzet van minimaal 10 miljoen euro)
-
De organisatie is een aanbieder van openbare internet- en communicatienetwerken
-
De organisatie is de enige aanbieder in een land van een kritieke dienst
-
De organisatie levert een dienst waarbij verstoring een grote impact heeft op de openbare veiligheid of volksgezondheid
-
De organisatie levert een dienst waarbij verstoring daarvan een aanzienlijk systeemrisico met zich kan brengen
-
De organisatie is kritiek wegens “het specifieke belang ervan op nationaal of regionaal niveau”
-
De organisatie is een overheidsinstantie
-
De organisatie is een kritieke entiteit in de zin van CER
De CER-richtlijn en de Wwke in een notendop
De Critical Entities Resilience-richtlijn (CER) verplicht fysieke beveiligingsmaatregelen om weerbaar(der) te worden. In essentie komt de CER-richtlijn neer op het volgende:
-
Lidstaten stellen een strategie op voor de weerbaarheid van kritieke entiteiten
-
Lidstaten ondersteunen kritieke entiteiten bij het vergroten van hun weerbaarheid
-
Kritieke entiteiten moeten fysieke risico’s in kaart brengen en adresseren
-
Kritieke entiteiten moeten incidenten melden
-
De toezichthouder kan boetes opleggen voor slechte weerbaarheid
De CER-richtlijn is – zoals de naam al doet vermoeden – gericht op kritieke entiteiten. In tegenstelling tot bij de NIS2-richtlijn vallen organisaties niet automatisch onder de CER-richtlijn. De Nederlandse overheid moet proactief aanwijzen wie een kritieke entiteit is. Daarbij houdt de overheid rekening met 4 factoren:
1. De entiteit verleent een of meer essentiële diensten
2. De entiteit bevindt zich in een lidstaat
3. Een incident bij de entiteit zou aanzienlijke verstorende effecten hebben op de essentiële dienstverlening.
Bij een “aanzienlijk verstorend effect”:
-
is een groot aantal gebruikers afhankelijk de dienst; en/of
-
zijn andere kritieke sectoren en deelsectoren afhankelijk van de dienst; en/of
-
zijn de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid groot; en/of
-
is het marktaandeel van de entiteit groot; en/of
-
is het geografische gebied dat door een incident kan worden getroffen groot en/of kwetsbaar (bijvoorbeeld door een grote omvang, grensoverschrijding, een afgelegen gebied, een bergachtig gebied, etc.); en/of
-
is het belang van de entiteit om de dienst op een voldoende niveau te houden groot (bijvoorbeeld vanwege een gebrek aan alternatieve diensten of aanbieders)
4. De entiteit werkt in een van de sectoren die worden genoemd in de CER-richtlijn.
Deze lijst is bijna hetzelfde als die uit de NIS2-richtlijn. De CER-richtlijn is in tegenstelling tot de NIS2-richtlijn echter niet van toepassing op de sector Beheer van ICT-diensten, maar wel op de sector Levensmiddelen.
Welke regels gelden er nu?
Valt een organisatie onder de NIS2- of de CER-richtlijn, dan zijn er 3 belangrijke aandachtspunten:
-
Zorgplicht. Organisaties moeten een risicobeoordeling doen en maatregelen treffen om incidenten te voorkomen.
-
Meldplicht. Organisaties moeten significante cyberincidenten en fysieke incidenten met aanzienlijke verstoringen melden bij de toezichthouder. Dit moet gebeuren binnen 24 uur. Na een maand moet een volledig eindverslag worden ingediend over het incident.
-
Toezicht. Organisaties worden onderworpen aan toezicht van onafhankelijke toezichthouders. Die kunnen boetes opleggen tot € 10.000.000,- of 2% van de wereldwijde jaaromzet.
De zorgplicht voor cybersecurity houdt in dat bedrijven “passende en evenredige technische, operationele en organisatorische maatregelen” moeten nemen. Bij de naleving van de zorgplicht en de meldplicht moet het bestuur van de organisatie worden betrokken. Cybersecurity wordt chefsache. Dat betekent dat bedrijven op bestuursniveau beleid moeten vaststellen en maatregelen moeten treffen op een aantal gebieden:
-
Risicoanalyse en beveiliging
-
Bedrijven moeten in kaart brengen waar hun kwetsbaarheden liggen en daarop inspelen
-
Bedrijven moeten de effectiviteit van beveiligingsmaatregelen beoordelen
-
-
Beveiliging van de toeleveringsketen
-
Beveiliging bij het verwerven, ontwikkelen en onderhouden van software
-
Incidentbehandeling
-
Bedrijfscontinuïteit
-
Back-upbeheer
-
Noodvoorzieningenplannen
-
Crisisbeheer
-
-
Cyberhygiëne en opleiding van het personeel op het gebied van cyberbeveiliging
-
Gebruik van cryptografie, encryptie en (multifactor-)authenticatie
-
Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
Voor fysieke beveiliging houdt de zorgplicht in dat dat entiteiten de gevolgen van ongevallen, natuurrampen, hybride dreigingen en terrorisme in beeld moeten brengen. Kritieke entiteiten zijn verplicht om een weerbaarheidsplan op te stellen:
-
Voorkomen dat zich incidenten voordoen
-
Beperking van het risico op rampen
-
Maatregelen voor aanpassing aan klimaatverandering
-
-
Adequate fysieke bescherming van gebouwen en infrastructuur
-
Omheiningen
-
Barrières
-
Bewaking
-
Detectieapparatuur
-
Toegangspoortjes
-
-
Incidenten en de gevolgen daarvan bestrijden en beperken
-
Incidenten herstellen (rekening houdend met bedrijfscontinuïteit)
-
Personeelsbeveiliging
-
Antecedentenonderzoek
-
Opleidingsvoorschriften en kwalificaties
-
-
Trainen van het personeel
Wat betekent dit voor mij?
Zoals eerder benoemd, zijn de richtlijnen nog niet geïmplementeerd. Dat moet nog gebeuren in de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Voordat die definitief zijn vastgesteld, kunnen bedrijven zich al wel voorbereiden door zichzelf de volgende vragen te stellen:
-
Zullen wij vermoedelijk onder de NIS2-richtlijn vallen?
-
Zullen wij vermoedelijk onder de CER-richtlijn vallen?
-
Aan welke normen (zoals ISO en NEN) voldoen wij al?
-
Wat is ons interne beveiligingsbeleid?
-
Zijn we voorbereid op rampen?
-
Hoe handelen wij incidenten af?
-
Wie heeft toegang tot welke data en ruimtes?
Voor de rest is het devies voor nu om voor te bereiden en af te wachten. Eind 2024 zullen we naar verwachting meer te weten komen over de definitieve teksten van de Cbw en de Wwke.
Nieuwe Europese wetgeving brengt grote veranderingen met zich. Bent u actief in een kritieke sector en heeft u juridische vragen over NIS2 of de CER? Of en wilt u simpelweg meer weten over uw rechten en plichten op het gebied van (cyber)security? Neem dan gerust contact op. Ik help u graag met een advies of een workshop op maat.
Thijmen van Hoorn, advocaat IT-recht