Actualiteiten Huurrecht voorjaar 2024
16 mei 2024 - Seminar - Arnhem
Even geduld aub...
Gids in de wereld van de Zorg
Op 14 december 2022 is de NIS2-richtlijn aangenomen. Deze richtlijn voorziet onder meer in meer coördinatie en samenwerking tussen lidstaten op het gebied van cyberveiligheid. Ook zullen (deels al bestaande) regels over cyberveiligheid op veel meer bedrijven en instellingen van toepassing worden. Wat betekent dit voor u?
De NIS2-richtlijn is de opvolger van de NIS1-richtlijn. NIS1 was de eerste richtlijn met een kader om de cybersecurity in de EU naar een hoger plan te tillen. De NIS1 (of NIB1) leidde in Nederland tot de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De WBNI is van toepassing op vitale aanbieders uit onder meer de energie-, de financiële en vervoerssector en voor digitale dienstverleners.
Een van de opvallende wijzigingen aan NIB2 is het veel grotere toepassingsbereik. Waar de NIS1 nog zag op een beperkt aantal sectoren en aanbieders (zie hiervoor), is de NIS2 van toepassing op alle middelgrote (en grotere ondernemingen) uit de volgende sectoren:
NB. Ik vat het hier wat vrij samen, zie voor details de lijst in bijlage 1 en 2 van het besluit.
Daarnaast is de richtlijn van toepassing op (zie artikel 2 lid 2):
aanbieders van openbare elektronischecommunicatienetwerken of van openbare elektronischecommunicatiediensten;
aanbieders van vertrouwensdiensten;
registers voor topleveldomeinnamen en verleners van domeinnaamregistratiediensten;
Alle zogenaamde essentiële en belangrijke entiteiten (lees; de middelgrote instellingen uit voorgaande sectoren) moeten straks passende en en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, om incidenten te voorkomen en de gevolgen van incidenten te beperken.
De norm van "passende beveiliging" kennen we ook uit de privacywetgeving. Nieuw is dat deze norm dus niet langer alleen geldt voor de beveiliging van persoonsgegevens, maar voor het gehele IT-landschap (ongeacht of daar persoonsgegevens mee worden verwerkt.
Verder valt op dat - anders dan in de AVG/GDPR - in deze wetgeving behoorlijk gedetailleerd is uitgewerkt waaruit de te nemen maatregelen in ieder geval dienen te bestaan (zie artikel 21 lid 2).
Specifiek voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten en aanbieders van vertrouwensdiensten zal de Europese Commissie bovendien met specifieke maatregelen komen (artikel 21 lid 5). En voor andere sectoren mag de EC uitvoeringshandelingen vaststellen. De Europese Unie trekt de teugels dus stapje voor stapje aan en tolereert onveilige ICT domweg niet langer.
Ook de meldplicht voor beveiligingsincidenten - die we op zich al kennen uit de WBNI - wordt aangescherpt en verruimd. In de eerste plaats gebeurt dit omdat de NIS2 op veel meer sectoren van toepassing is dan de NIS1. De termijn om te melden is bovendien met 24 uur kort te noemen (zie artikel 23 lid 4a). En binnen een maand moet er in beginsel al een eindverslag liggen, zij het dat indien het incident dan nog voortduurt er binnen een maand na afronding een eindverslag moet liggen (ik verwacht dat dit in de praktijk neerkomt op een maandelijkse update).
In de NIS2 zijn ook allerlei voorzieningen opgenomen over informatieuitwisseling over incidenten tussen toezichthouders en publieksvoorlichting indien dat bij incidenten nodig is. Alles om maar het veiligheidsniveau algeheel naar een hoger plan te tillen.
De NIS2 richtlijn biedt ook ruimte aan de lidstaten om van de partijen die onder de regelgeving vallen te eisen dat zij alleen gecertificeerde ICT-producten gebruiken (artikel 24).
Dit zal het gebruik van dergelijke certificering in de praktijk vermoedelijk stevig aanmoedigen. De vraag is tegelijkertijd ook of dit in de praktijk geen beletsel gaat zijn voor de wat kleinere leverancier van ICT-producten, zeker wanneer gecertificeerd worden omslachtig blijkt te zijn.
De richtlijn bepaalt verder dat er ook effectieve handhaving zal moeten zijn en dat er waar nodig doeltreffende, evenredige en afschrikwekkende sancties worden opgelegd bij overtreding. Er kunnen boetes worden opgelegd die kunnen oplopen tot (zie artikel 34):
Indien een overtreding tevens een overtreding is van de AVG is en er wordt door de privacytoezichthouders een boete opgelegd, dan volgt er geen dubbele boete (voor zover het dezelfde gedraging betreft). Wel kan door de toezichthouders op deze NIS2 richtlijn nog wel steeds anderszins handhavend worden opgetreden (artikel 35).
Voor de helderheid: op de WBNI wordt op dit moment toegezien door andere toezichthouders dan de Autoriteit Persoonsgegevens.
Verder bevat de NIS2 richtlijn zeer veel regelingen omtrent Europese samenwerking tussen de verschillende toezichthouders. Dat laat ik voor deze blog even voor wat het is.
De NIS2-richtlijn moet uiterlijk 17 oktober 2024 worden omgezet in nationaal recht (artikel 41). De richtlijn laat her en der wat keuzes voor nationale invulling, dus we gaan zien welke keuzes Nederland hierin maakt. We houden u op de hoogte.
Heeft u vragen over het voorgaande? Neem gerust contact op.
16 mei 2024 - Seminar - Arnhem
30 mei 2024 - Seminar - Arnhem
