Vragen en antwoorden

De NIS2 is een afkorting van de Network and Information Security 2-richtlijn.

De NIS2 is de opvolger van de eerste NIS1-richtlijn. In Nederland ook wel bekend als de NIB richtlijn (netwerk- en informatiebeveiliging). Deze is in Nederland in 2016 geïmplementeerd  in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Vind hier de Nederlandse vertaling van de NIS2-richtlijn.

De samenleving en economie worden steeds afhankelijker van digitale processen en netwerk- en informatiesystemen. Tegelijkertijd neemt de cyberdreiging toe. De NIS2-richtlijn heeft tot doel om de cyberbeveiliging in de EU verder te versterken. NIS2 wil dit bereiken door de verschillen tussen lidstaten op het gebied van de cyberbeveiligingseisen weg te nemen. Deze richtlijn is daarom gericht op een geharmoniseerde versterking van de cyberbeveiliging van de Europese lidstaten.

Weerbaarheid is het vermogen om een incident zoveel mogelijk te voorkomen, de impact te beperken of te beheersen, efficiënt en effectief te reageren op een incident en zo snel mogelijk te herstellen van een incident. Weerbaarheid gaat om alle soorten risico’s, onafhankelijk van de oorzaak (Denk bijvoorbeeld aan ongevallen, overstromingen, noodsituaties op het gebied van de volksgezondheid zoals een pandemie, terroristische misdrijven, criminele infiltratie of sabotage).

De richtlijn is op 16 januari 2023 in werking getreden voor de lidstaten. Sindsdien loopt er een implementatietermijn, die Nederland en de andere lidstaten 21 maanden de tijd geeft, om de richtlijn om te zetten naar nationale wetgeving. Dat betekent dat de nationale NIS2-implementatiewet, de Cyberbeveiligingswet, eigenlijk op 17 oktober 2024 in werking had moeten treden. Het implementeren van NIS2-richtlijn kost echter meer tijd dan verwacht, waardoor de deadline niet wordt gehaald. Al het nodige wordt gedaan om het implementatieproces zo vlot mogelijk te laten verlopen. De Cyberbeveiligingswet zal naar verwachting medio 2025 in werking treden.

In Nederland zal de NIS2-richtlijn geïmplementeerd worden door de Cyberbeveiligingswet (Cbw).

De Wbni wordt ingetrokken zodra de Cbw in werking treedt.

Voor in Nederland gevestigde entiteiten die onder het toepassingsbereik van de NIS2-richtlijn vallen gelden de verplichtingen uit de NIS2-richtlijn vanaf het moment dat de Cbw in werking treedt. De Cbw zal naar verwachting medio 2025 in werking treden.

Aan de hand van in welke sector een organisatie actief is en wat de grootte van een organisatie is wordt bepaald of deze organisatie onder de NIS2-richtlijn valt, en daarmee ook onder de Cbw. De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:

Een organisatie is ‘groot’ als er:

1. Minimaal 250 personen werkzaam zijn OF;
2. Er sprake is van een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro

Een organisatie is ‘middelgroot’ als er:

1. Minimaal 50 personen werkzaam zijn OF;
2. Er sprake is van een jaaromzet van meer dan 10 miljoen euro, en een balanstotaal van meer dan 10 miljoen euro

Vervolgens wordt aan de hand van de genoemde sectoren in bijlage I en II van de Cyberbeveiligingswet bepaald of een organisatie als een ‘kritieke entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie. Daarmee kunnen ze alsnog onder de Cbw komen te vallen.

Een uitzondering geldt voor de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwens-dienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinregistratiediensten. Al deze organisaties (zowel groot, middelgroot als micro/klein), dus ongeacht hun omvang vallen direct onder de Cbw.

Er is een zelf-evaluatietool gepubliceerd waarmee entiteiten kunnen bepalen of zij van rechtswege onder de reikwijdte van de Cbw vallen. Deze is te vinden op https://regelhulpenvoorbedrijven.nl/NIS-2-NL.

Voor overheidsorganisaties geldt een aantal specifieke bepalingen:

• De NIS2-richtlijn is van toepassing op Rijksoverheidsorganisaties, ongeacht hun omvang.
• Zbo’s worden tot rijksoverheidsorganisaties gerekend. Voor zbo’s geldt alleen dat zij pas onder de reikwijdte van de Cbw vallen als zij aan de criteria van overheidsinstantie uit de Cbw voldoen.
• Het kabinet heeft ervoor gekozen de NIS2-richtlijn ook van toepassing te laten zijn op lokale overheden, zoals gemeenten, provincies en waterschappen.
• De NIS2-richtlijn is niet van toepassing op overheidsorganisaties die activiteiten uitvoeren op het gebied van de nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Dit geldt onder andere voor de veiligheidsregio’s, het Ministerie van Defensie, het openbaar ministerie en de politie.
• De NIS2-richtlijn is niet van toepassing de rechterlijke macht, de Eerste en Tweede Kamer en De Nederlandsche Bank.

De belangrijkste verplichtingen onder de Cbw zijn:

• Zorgplicht –  Entiteiten zijn verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende en evenredige technische, operationele en organisatorische maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
• Bestuur – De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij  een opleiding te volgen.
• Registratieplicht – Entiteiten zijn verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin entiteiten zichzelf registreren en aanmelden als NIS2-entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op.
• Meldplicht - Entiteiten moeten significante incidenten onverwijld, en indien niet mogelijk, binnen 24 uur melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de entiteit aanzienlijk (kunnen) verstoren. Voor het doen van meldingen wordt een centraal meldpunt ingericht door het NCSC. Het Meldportaal dat voor het doel van significante meldingen wordt ingericht is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of van bijna-incidenten.

De invulling van deze verplichtingen worden in lagere regelgeving en beleid uitgewerkt. Deze invulling kan per sector verschillen.

Entiteiten die onder de Cyberbeveiligingswet vallen hebben recht op advies en bijstand van een CSIRT. Deze ondersteuning kan verder bestaan uit informatie-uitwisseling, zoals het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen, en het verspreiden van informatie over cyberdreigingen, kwetsbaarheden en incidenten.

Vooruitlopend op de komst van de Cyberbeveiligingswet kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de sites van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center staat bijvoorbeeld een aantal maatregelen die organisaties kunnen nemen om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. Ook kan er gedacht worden aan het:

• In kaart brengen van de gebruikte netwerk- en informatiesystemen Inventariseren en analyseren van risico’s.
• Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing
• Het organiseren van incident response. Identificeren van alternatieve toeleveringsketens.
• Bewustwording van personeel van risico’s en te nemen maatregelen.
• In kaart brengen van de eigen assets (dus de eigen netwerk- en informatiesystemen).
• Ook is het verstandig om budget en capaciteit te reserveren dat nodig is om aan de richtlijnen te voldoen.

Marktinitiatieven betreffen een vorm van zelfregulering, waarbij een keurmerk als instrument wordt ingezet. Zelfregulering kan onder de juiste randvoorwaarden bijdragen aan het behalen van een maatschappelijk doel. Keurmerken hebben echter geen zelfstandige status in relatie tot het voldoen aan de wettelijke vereisten. Het is aan de toezichthouder om te bezien of een partij aan de wet voldoet. Er wordt dus vanuit de Rijksoverheid geen uitspraak gedaan over dit soort initiatieven.

Vanuit de Rijksoverheid (NCSC, DTC, RDI) worden voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet wel verschillende tools en kennisproducten opgesteld die partijen kunnen helpen bij het voldoen aan de vereisten uit de zorgplicht van de Cyberbeveiligingswet. Deze tools hebben geen juridische status en zijn bedoeld als hulpmiddel. Het is aan de toezichthouders om te bezien of een partij aan de wet voldoet.

Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Hoe toezicht precies ingericht gaat worden, wordt momenteel nog aan gewerkt. Ook de precieze uitwerking van de verplichtingen, zoals voortkomend uit de NIS2-richtlijn, ligt nog ter besluitvorming voor.

De essentiële en belangrijke entiteiten hebben een wettelijke verplichting om gegevens aan te leveren voor een zogenoemd entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid van belangrijke en essentiële diensten en organisaties.

Tegelijkertijd moeten bevoegde autoriteiten, toezichthouders en CSIRT’s over deze gegevens kunnen beschikken voor het uitoefenen van hun wettelijke taken. Om ervoor te zorgen dat entiteiten deze informatie laagdrempelig kunnen aanleveren en beheren is ervoor gekozen om een registratiemechanisme in te richten bij de Minister van Justitie en Veiligheid. Via een technische oplossing wordt gewaarborgd dat bevoegde autoriteiten, toezichthouders en CSIRT’s uitsluitend toegang krijgen tot de gegevens uit het register voor zover zij deze nodig hebben voor het uitvoeren van hun wettelijke taken onder deze richtlijn. Op die manier wordt de groep die toegang heeft tot deze gegevens zo beperkt mogelijk gehouden. Voor meer informatie over registratie kunt u terecht op de website van het NCSC.

Essentiele entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, kunnen zich per 17 oktober 2024 op vrijwillige basis registreren bij het NCSC. Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingsdienst verplicht. Om ervoor te zorgen dat entiteiten de informatie voor de registratie laagdrempelig kunnen aanleveren en beheren, heeft het kabinet ervoor gekozen om een centrale registratiefunctionaliteit in te richten bij het NCSC. In dit registratieportaal is het ook mogelijk incidenten vrijwillig te melden. Voor meer informatie over registratie kunt u terecht op de website van het NCSC.

De Wbni zal pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht, voor zover zij niet in strijd is met de NIS2-richtlijn.

De NIS2-richtlijn kent een bepaalde systematiek waarbij entiteiten van rechtswege onder de richtlijn vallen en daarnaast bepaalde entiteiten pas onder de werking van de richtlijn vallen nadat zij door een lidstaat in het wetgevingsproces zijn aangewezen op basis van criteria in de richtlijn. Deze systematiek is gevolgd in de Cyberbeveiligingswet. Voor entiteiten die van rechtswege onder de wet vallen is de volgende tool ontwikkeld: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/. Deze tool kan behulpzaam zijn voor het vaststellen of een partij al dan niet van rechtswege onder de Cyberbeveiligingswet valt.

Voor een entiteit die nu al onder de Wbni valt, blijven de in die wet geregelde verplichtingen gelden totdat deze wet wordt ingetrokken. Voor een entiteit die niet onder de Wbni valt, maar straks wel onder de Cyberbeveiligingswet, zijn er tot het moment van inwerkingtreding van de Cyberbeveiligingswet nog geen verplichtingen. De verplichtingen uit de Cyberbeveiligingswet evenals het toezicht daarop zullen ingaan op het moment van inwerkingtreding van de Cyberbeveiligingswet. Wel wordt entiteiten aangeraden om zich alvast voor te bereiden op de komst van de Cyberbeveiligingswet. Entiteiten kunnen de volgende tool gebruiken om zich voor te bereiden: https:/regelhulpenvoorbedrijven.nl/NIS2-Quickscan/. Ook heeft het Nationaal Cyber Security Centrum meerdere kennisproducten gepubliceerd die handvaten bieden ter voorbereiding op de Cyberbeveiligingswet, zie hier.

Voor entiteiten die behoren tot de sectoren digitale infrastructuur, beheer van ICT-diensten en digitale aanbieders worden op dit moment onder regie van de Europese Commissie uitvoeringshandelingen opgesteld over de zorgplicht en meldplicht. Deze zullen naar verwachting dit najaar in werking treden. Hierop kan echter nog geen toezicht worden gehouden en geen handhaving plaatsvinden zolang de Cyberbeveiligingswet nog niet in werking is getreden.

Entiteiten die onder de Wbni vallen behouden hun rechten, zoals de bijstand van het CSIRT, totdat de Cyberbeveiligingswet in werking treedt. De NIS2-richtlijn kent een soortgelijk recht op onder meer bijstand door een CSIRT. Entiteiten die onder de NIS2-richtlijn vallen, kunnen na 17 oktober 2024 een beroep doen op deze bijstand door een CSIRT. De bijstand bestaat in ieder geval uit het ondersteunen van de entiteit op het moment dat er sprake is van een dreiging of incident in een netwerk- en informatiesysteem. Het kan zijn dat entiteiten zowel onder de Wbni als van rechtswege onder de NIS2-richtlijn vallen. Die entiteiten kunnen vanaf 17 oktober 2024 op grond van zowel de Wbni als de NIS2-richtlijn een beroep doen op bijstand door een CSIRT. Mochten er veel entiteiten tegelijkertijd om bijstand vragen, dan zal er prioritering plaatsvinden door het CSIRT op basis van een risicoafweging.

Entiteiten die van rechtswege onder de NIS2-richtlijn vallen, hebben pas een zorg- en meldplicht als bedoeld in die richtlijn op het moment dat de Cyberbeveiligingswet in werking treedt en zij onder de jurisdictie van Nederland vallen. Nederlandse toezichthouders zullen dus ook niet, voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet, toezien op de naleving van deze verplichtingen.

Voor onderstaande entiteiten kan bijvoorbeeld de hoofdvestiging van een entiteit relevant zijn voor de vraag onder de jurisdictie van welke lidstaat die entiteit valt (zie artikel 26 NIS2-richtlijn):  

• DNS-dienstverleners, verleners van domeinregistratiediensten, cloud computing service providers, data centre service providers, content delivery network providers, aanbieders van vertrouwensdienstverleners.
• Managed service providers, managed security service providers
• Aanbieders van online marktplaatsen, online zoekmachines en sociale media platforms

Deze entiteiten kunnen daarom wel al eerder te maken krijgen met regelgeving van een andere lidstaat.

De NIS2-richtlijn schrijft in artikel 3, derde lid, voor dat lidstaten een lijst dienen op te stellen van essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Om onder andere aan deze verplichting te kunnen voldoen zijn deze entiteiten vanaf de inwerkingtreding van de Cyberbeveiligingswet verplicht om bepaalde gegevens te delen en actueel te houden, zoals hun contactgegevens en de sector(en) waarin zij actief zijn. Met het oog daarop wordt een centraal registratiefunctionaliteit ontwikkeld. Vanaf 17 oktober is voor entiteiten die van rechtswege onder de NIS2-richtlijn vallen mogelijk zich, vooruitlopend op de inwerkingtreding van de Cyberbeveiligingswet, vrijwillig te registreren. Benadrukt wordt dat de verplichting tot registratie voor entiteiten pas ontstaat op het moment dat de Cyberbeveiligingswet in werking treedt. Registeren kan op mijn.ncsc.nl. Lees hier wat je nodig hebt om het registratieproces te doorlopen.

De NIS1-richtlijn wordt ingetrokken met ingang van 17 oktober 2024 en vanaf deze datum is de NIS2-richtlijn van toepassing in de Europese Unie. Verwijzingen naar de NIS1-richtlijn, zoals bijvoorbeeld in de Wbni, kunnen dan ook beschouwd worden als verwijzingen naar de NIS2-richtlijn. Dit staat vermeld in artikel 44 van de NIS2-richtlijn. In Nederland zal de Wbni pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht.