Wat betekenen de Wet weerbaarheid kritieke entiteiten (CER-richtlijn) en Cyberbeveiligingswet (NIS2-richtlijn) voor organisaties?
Welke verplichtingen schrijven de Wet weerbaarheid kritieke entiteiten (CER-richtlijn) en Cyberbeveiligingswet (NIS2-richtlijn) voor?
De verplichtingen van beide richtlijnen lijken sterk op elkaar. Belangrijke onderdelen zijn:
- Registratieplicht - Organisaties die vallen onder de NIS2-richtlijn, en dus ook onder de Cyberbeveiligingswet, zijn wettelijk verplicht zich te registreren in het entiteitenregister. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2. Er wordt door het Nationaal Cybersecurity Centrum (NCSC) gewerkt aan een online registratievoorziening waarin organisaties zichzelf registreren en aanmelden als NIS2-entiteit.
- Zorgplicht - Beide richtlijnen, en dus ook wetsvoorstellen, bevatten een zorgplicht die organisaties verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesystemen te beschermen. Bij de CER-richtlijn zijn deze maatregelen gericht op fysieke risico’s, bij de NIS2-richtlijn op digitale risico’s. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.
- Meldplicht - Beide richtlijnen schrijven voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand kan leveren. Voor het doen van meldingen wordt een centraal meldpunt ingericht door het NCSC. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht - Organisaties die onder één of beide richtlijnen vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Wat kunnen organisaties van de overheid verwachten?
Lidstaten zijn verplicht om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen fysieke en digitale dreigingen. Zo schrijft de Wet weerbaarheid kritieke entiteiten (CER-richtlijn) voor dat de overheid elke vier jaar per sector een risicobeoordeling uitvoert en deelt met kritieke entiteiten in die sector. De Cyberbeveiligingswet (NIS2-richtlijn) schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
In Nederland wordt het CSIRT-takenpakket dat in de NIS2-richtlijn benoemd wordt met name belegd bij verschillende sectorale CSIRTs. Zij leveren directe ondersteuning voor de sectoren. Daarnaast heeft het NCSC een rol als het nationale CSIRT voor sector overkoepelende taken.
De ondersteuning van de sectorale CSIRTs is erop gericht om organisaties te helpen met de beveiliging van de netwerk- en informatiesystemen, informeren over bekende kwetsbaarheden en bedreigingen en bijstand te verlenen in het geval van een incident.