Cybersecurity geregeld
Op naar een hoger niveau
Voor onder andere de zorg, de transportsector en de drinkwatervoorziening golden er al regels voor, maar in de loop van 2024 zullen ook bijvoorbeeld bedrijven in de ketens van levensmiddelen, in de chemische- en maakindustrie, post- en koeriersdiensten en in de ICT op hoog niveau moeten zorgen voor veiligheid en stabiliteit in hun ICT-voorzieningen.
Op 16 januari 2023 is een richtlijn voor cybersecurity Richtlijn (EU) 2022/2555 (‘NIS 2-Richtlijn’)₁ in werking getreden ter vervanging van Richtlijn (EU) 2016/1148₂. De Richtlijn (EU) 2016/1148 was gebaseerd op art. 114 VWEU), dat tot doel heeft de interne markt tot stand te brengen en te laten functioneren door de maatregelen voor de onderlinge aanpassing van de nationale regels te versterken. Met de Richtlijn (EU) 2016/1148 moest tot een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de EU worden gekomen₃. De NIB 2-Richtlijn creëert nieuwe taken voor autoriteiten en wil een hoog gemeenschappelijk niveau van cyberbeveiliging binnen de EU₄.
Wbni
De Richtlijn (EU) 2016/1148 is geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni)₅, gericht op zogenoemde Aanbieders van Essentiële Diensten (AED’s). Daaronder vallen energie, vervoer₆, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur. Daarnaast vallen digitaledienstverleners (DSP’s), zoals aanbieders van onlinemarktplaatsen, onlinezoekmachines en clouddiensten (voor zover zij onder de definities vallen₇) en overheidsorganisaties die essentiële diensten aanbieden eronder₈.
Uit art. 7 lid 1 Wbni volgt dat aanbieders van essentiële diensten en digitaledienstverleners moeten passende en evenredige technische en organisatorische maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen. Het gaat om de beveiliging van systemen en voorzieningen, behandeling van incidenten, het beheer van de bedrijfscontinuïteit, toezicht, controle en testen, inachtneming van de internationale normen (art. 7 lid 2 Wbni). Die maatregelen moeten naar de stand van de techniek een beveiligingsniveau geven dat is afgestemd op voorkomende risico's. Incidenten moeten worden voorkomen en als die zich toch voordoen, dan moeten de gevolgen zo klein mogelijk blijven (art. 8 Wbni). Art. 10 Wbni bevat een meldingsplicht voor vitale aanbieders (lid 1) en essentiële aanbieders (lid 2) wanneer de continuïteit van de dienstverlening in het gedrang is door (a) incidenten of (b) inbreuken op de beveiliging van netwerk- en informatiesystemen. De ernst wordt bepaald naar (a) het aantal gebruikers dat wordt getroffen, (b) de duur van het incident en (c) de omvang het gebied dat het betreft (art. 10 lid 4 Wbni). Er is toezicht, ondersteuning en advies vanuit de overheid.
Een blik vooruit
In de loop van 2024 zullen de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid, ruimtevaart, post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, productie en distributie van chemische stoffen, productie, verwerking en distributie van levensmiddelen, digitale aanbieders, onderzoek en vervaardigers van o.a. diverse hulpmiddelen, apparaten, werktuigen en transportmiddelen₉ aan de plichten uit de NIS 2-Richtlijn moeten voldoen. Dan moet de Nederlandse wet (Wbni) op de NIS 2-Richtlijn zijn aangepast. Te denken valt aan het volgen van opleiding (art. 20 NIS 2-Richtlijn), passende beveiligingsmaatregelen (art. 21 NIS 2-Richtlijn), een scherpere meldingsplicht (art. 23 NIS 2-Richtlijn) en de zorg om cyberbeveiligingsrisico's in toeleveringsketens en relaties met leveranciers te voorkomen (art. 21 lid 3
NIS 2-Richtlijn)
bijvoorbeeld door contractuele maatregelen te treffen₁₀. Op bestuurders komt een bijzondere verantwoording te rusten; schending van de richtlijn kan tot bestuurdersaansprakelijkheid leiden. Door samenwerking tussen toezichthoudende autoriteiten kan ook meer controle op de omgang met persoonsgegevens plaatsvinden (artt. 31 lid 3 en 35 NIS 2-Richtlijn). Vanwege het bepaalde in art. 24 NIS 2-Richtlijn kan het belang van certificering in het kader van Europese cyberbeveiligingscertificeringsregelingen₁₁ toenemen. Als ondernemer of organisatie kun je alvast inventariseren en waar mogelijk anticiperen op wat komen gaat. Bestuurders doen er goed aan het kennisniveau alvast op peil te brengen om cybersecurity-risico's te herkennen.
Het Nationaal Cyber Security Centrum (NCSC) heeft een Handreiking Cybersecuritymaatregelen met basismaatregelen beschikbaar₁₂.
Uiterlijk op 17 oktober 2024 volgt er een regeling met uitvoeringshandelingen met de technische en methodologische vereisten van de beschermingsmaatregelen in art. 21 lid 2 NIS 2-Richtlijn voor ICT-gerelateerde aanbieders₁₃ (art. 23 (slot) NIS 2-Richtlijn).
Lees ook mijn artikel “Verwerkingsverantwoordelijke, bezint eer ge begint; De beginselen van de AVG toegelicht“ en blogposts “Het verwerkingsregister” en “Toestemming als AVG-grondslag”.
₁ Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/114 (NIS 2-richtlijn) (PbEU L 333/80).
₂ Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PbEU L 194/1). De bijbehorende uitvoeringsverordening is Uitvoeringsverordening (EU) 2018/151 van de Commissie van 30 januari 2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico's in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft.
₃ Overweging 74 Richtlijn (EU) 2016/1148.
₄ Overweging 141, 142 Richtlijn (EU) 2022/2555.
₅ Voorheen aangeduid als Cybersecuritywet (Kamerstukken II 2017/18, 34 883, 3)
₆ In de sector vervoer over water hebben beveiligingseisen voor ondernemingen, schepen, havenfaciliteiten, havens en scheepvaartbegeleidingsdiensten overeenkomstig rechtshandelingen van de Unie betrekking op alle activiteiten, met inbegrip van de radio- en telecommunicatiesystemen en computersystemen en netwerken (Overweging 74 Richtlijn (EU) 2016/1148).
₇ Art. 4 onder 17 (onlinemarktplaats), 18 (onlinezoekmachine) en 19 (cloudcomputerdienst. In Richtlijn (EU) 2022/2555 in art. 6 onder 28, 29 resp. 30.
₈ Kamerstukken II 2017/18, 34 883, 3, p. 2.
₉ Richtlijn (EU) 2022/2555, Bijlagen I en II.
₁₀ Overweging 85 Richtlijn (EU) 2022/2555.
₁₁ Op grond van art. 49 Verordening (EU) 2019/881 vastgesteld. Hierover Kamerstukken II 2020/21, 35838. 3.
₁₂ < https://www.ncsc.nl/onderwerpen/basismaatregelen/documenten/publicaties/2021/juni/28/handreiking-cybersecuritymaatregelen >
₁₃ DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentra, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten en aanbieders van vertrouwensdiensten (art. 21 lid 2 NIS 2-Richtlijn).
Januari 2023
Disclaimer
De artikelen en blogposts van Legalance bieden algemene informatie en zijn niet bedoeld als advies. Er is niet beoogd volledigheid over een bepaald leerstuk na te streven . Ook kande informatie verouderd, onvolledig en/of onjuist zijn door wijzigingen in wet- en regelgeving, nieuwe rechtspraak of andere ontwikkelingen. Aan de hier aangeboden informatie kunnen dan ook geen rechten worden ontleend. De auteur daarvan kan niet aansprakelijk worden gehouden voor de gevolgen van het gebruik, op welke wijze dan ook, van deze informatie.
Welkom bij Legalance. Ik ben Anneke, jurist voor ondernemers en particulieren. Ook werk ik als freelance-jurist* of teken ik voor legal design. Hier vind je artikelen en blogposts op het gebied van bestuursrecht, erfgoedrecht (incl. werelderfgoed), ICT-recht, intellectueel eigendomsrecht, kunstrecht, mededingingsrecht, mensenrechten, omgevingsrecht, privaatrecht, privacy en verwerking persoonsgegevens (AVG), (goederen) vervoersrecht en veterinair recht (multidisciplinair).
Ben je niet op zoek naar een advocaat, maar wel naar de juridische oplossing, vraagbaak of ondersteuning die bij jou, je bedrijf of organisatie past? Laten we eens kennismaken.
*Jurist of paralegal vanuit Spijkenisse, vanaf Voorne-Putten (bij Rotterdam).
