De tweede Netwerk- en Informatiebeveiligingsrichtlijn (NIS 2) is in december 2022 aangenomen door de EU-wetgever. De richtlijn moet leiden tot een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen. De NIS 2 is de opvolger van de eerste NIS-richtlijn (NIS 1). Deze is in Nederlands geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Vanwege de steeds grotere omvang van cybersecurityincidenten en implementatieverschillen voldeed de bestaande cybersecurityregelgeving binnen de EU niet meer. De EU-wetgever is daarom met deze nieuwe richtlijn gekomen.
De EU-wetgever haalt hiermee de teugels flink aan op het gebied van cybersecurity. Een grote verandering ten opzichte van de NIS 1 is de bredere reikwijdte van de NIS 2. Instanties moeten als eerste stap dan ook zelf beoordelen of ze onder de NIS 2 gaan vallen. In deze blog gaan wij nader in op het toepassingsbereik van de NIS 2.
Voor meer informatie over de andere onderdelen van de NIS 2, kun je kijken naar het webinar dat wij onlangs in samenwerking met VKA hebben gegeven.
Toepassingsgebied NIS 2
De NIS 2 is van toepassing op zowel publieke als particuliere entiteiten. Consumenten vallen er dus niet onder. Voor de toepasselijkheid van de NIS 2 is vereist dat een entiteit:
- een middelgrote organisatie is of groter die
- onder een zeer kritieke of andere kritieke sector valt en
- diensten verleent of activiteiten verrichten in de EU.
Een middelgrote organisatie is of groter
De criteria om de grootte van een organisatie te bepalen, is op EU-niveau vastgelegd. Grote organisaties hebben meer dan 250 werkzame personen, of een jaaromzet hoger dan 50 miljoen euro of een balanstotaal hoger dan 43 miljoen euro. Middelgrote organisaties hebben 50 tot 250 werkzame personen en een jaaromzet tussen de 10 en 50 miljoen euro of een balanstotaal tussen de 10 en 43 miljoen euro. Een organisatie die minder dan 50 werkzame personen heeft, valt in beginsel niet onder de NIS 2. Hetzelfde geldt voor een organisatie met een jaaromzet en balanstotaal van minder dan 10 miljoen euro.
Een zeer kritieke of andere kritieke sector
Naast de grootte van een organisatie is ook de sector waarbinnen die valt van belang. De energie en vervoerssector, het bankwezen, de gezondheidszorg en de overheid zijn voorbeelden van ‘zeer kritieke’ sectoren. Post- en koeriersdiensten, afvalstoffenbeheer, de vervaardiging van chemische stoffen en de productie van levensmiddelen vallen onder de noemer ‘andere kritieke’ sectoren. In de richtlijn staan alle sectoren vermeld waarop deze van toepassing is.
De NIS 2 verdeelt de instanties die eronder vallen in essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties uit een zeer kritieke sector. Alle andere mogelijke combinaties zijn belangrijke entiteiten. Dus bijvoorbeeld een middelgrote organisatie uit een zeer kritieke sector of een grote organisatie uit een andere kritieke sector.
Uitzonderingen op het toepassingsgebied
Wanneer organisaties niet onder de voorgaande voorwaarden vallen, dan kunnen zij alsnog onder de NIS 2 vallen. In de NIS 2 is bepaald dat deze organisaties in ieder geval onder de NIS 2 vallen:
- aanbieders van elektronische communicatienetwerken of -diensten,
- aanbieders van vertrouwensdiensten,
- registers voor topleveldomeinnamen,
- verleners van domeinnaamregistratiediensten.
Aanbieders van diensten die essentieel zijn voor de instandhouding van kritieke maatschappelijke of economische activiteiten kunnen ook onder de NIS 2 vallen. Dit is ongeacht de grootte van de instantie. EU-lidstaten kunnen bovendien specifieke overheidsinstanties aanwijzen die onder de NIS 2 vallen.
Implementatie Nederlandse wetgever
Uiterlijk 17 oktober 2024 moet de richtlijn in Nederland zijn geïmplementeerd. De internetconsultatie is uitgesteld van deze zomer naar het najaar van dit jaar. Het moment van inwerkingtreding lijkt nog niet in gevaar te komen door het uitstel. De consultatieperiode biedt een kans voor instanties die onder de NIS 2 gaan vallen om bezwaren vooraf kenbaar te maken. Om deze bezwaren te kunnen ontdekken, is het verstandig om op tijd met de voorbereidingen voor de NIS 2 te beginnen. Op die manier verminder je het risico op dure beveiligingsincidenten, verbeter je de cyberweerbaarheid van je organisatie en bescherm je de reputatie van je organisatie.
Conclusie
De NIS 2 gaat voor meer instanties gelden dan de NIS 1. Deze instanties moeten onder andere rekening houden met uitgebreidere beveiligingsmaatregelen, verzwaarde handhaving, hogere boetes en bestuurdersaansprakelijkheid. Bovenstaande uitleg over het toepassingsgebied van de NIS 2 en de belangrijkste veranderingen komt ook terug in het door ons gegeven webinar. Mocht je naar aanleiding van deze blog of het webinar vragen hebben, dan kan je contact met ons opnemen.
Deze blog is geschreven in samenwerking met Luuk Wassink.
Vera Rhebergen-Vaags
Sharbel Goriya
