In de Europese veiligheidsagenda, afkomstig uit 2015, was cyberbeveiliging een van de belangrijkste aandachtsgebieden. Sindsdien zijn er diverse soorten wetgeving op het gebied van cybersecurity ingevoerd als onderdeel van de EU-strategie om Europa digitaal weerbaarder te maken. Verschillende incidenten op het gebied van cyberbeveiliging en een evaluatie van de wetgeving op het gebied van cyberbeveiliging die sinds 2015 van kracht is, hebben geleid tot een nieuwe cyberbeveiligingsstrategie van de Europese Unie die in 2020 is gepubliceerd. Een van de uitkomsten van de strategie is de vervanging van de huidige “Netwerk- en informatiebeveiligingsrichtlijn (‘NIS-1’). Daarnaast heeft de Europese Commissie een voorstel gedaan voor een ‘Cybersecurity Act’ en een ‘Digital Operational Resilience Act’ gericht op de financiële sector.
In dit artikel richten we ons op de opvolger van NIS-1, de NIS-2 richtlijn. In mei 2022 hebben het Europees Parlement en de EU-lidstaten een politiek akkoord bereikt over de NIS-2 richtlijn. Zodra het Europees Parlement de NIS-2-richtlijn formeel heeft goedgekeurd, kan deze worden aangenomen en kan de implementatie in de EU-lidstaten van start gaan.
Aangezien de NIS-2-richtlijn voortbouwt op NIS-1, zullen we beginnen met een schets van NIS-1. Het doel van NIS-1 is het harmoniseren van de beveiligingseisen voor netwerk- en informatiesystemen met een gecoördineerde aanpak tussen de lidstaten van de EU. NIS-1 richt zich op een adequaat niveau van bescherming van cybersecurity in de gehele EU, waarbij beveiligingseisen, meldingsplicht en informatie-uitwisseling centraal staan. In Nederland wordt NIS-1 geïmplementeerd via de Wbni (‘Wet beveiliging netwerk- en informatiesystemen’).
NIS-1 maakt onderscheid tussen ‘Aanbieders van Essentiele Diensten ‘ (AED) en ‘Digital Service Providers’ (DSP).
AED’s zijn partijen die diensten verlenen die van belang zijn voor kritieke maatschappelijke en/of economische entiteiten en voor de verlening waarvan zij sterk afhankelijk zijn van digitale netwerk- en informatiesystemen. NIS-1 bevat een lijst van “essentiële diensten” (waaronder bijvoorbeeld energie, vervoer, financiële diensten, gezondheidszorg en de levering van drinkwater). De nationale wetgever heeft de bevoegdheid om partijen die ‘Essentiële diensten’ leveren aan te wijzen. In Nederland is dat gebeurd via het bbni (‘besluit beveiliging netwerk- en informatiesystemen’).
DSP’s zijn aanbieders van digitale diensten zoals ‘online marktplaatsen’, ‘online zoekmachines’ en ‘cloud service providers’. In tegenstelling tot de AED’s worden deze DSP’s niet door de nationale wetgever aangewezen. Elke entiteit die als DSP opereert, moet zich echter houden aan NIS-1, op voorwaarde dat ze een bepaalde omvang heeft (minimaal 50 werknemers, een jaaromzet van 10 miljoen euro).
Zowel de AED’s als de DSP’s moeten passende beveiligingsmaatregelen nemen en incidenten met “ernstige gevolgen” melden aan de autoriteiten of het Computer Security Incident Response Team (CSIRT).
Beveiligingsmaatregelen
De AED’s en de DSP’s moeten veiligheidsrisico’s in kaart brengen en “passende technische en organisatorische maatregelen” nemen om veiligheidsrisico’s te beheren die in overeenstemming zijn met de “stand van de techniek” en afgestemd zijn op de risico’s. De diensten van de AED’s zijn kritischer dan die van de DSP’s en daarom kennen de beveiligingsmaatregelen van de DSP’s een lichtere regeling. DSP’s hebben een beoordelingsmarge bij het bepalen welke maatregelen geschikt zijn voor het beheer van de beveiligingsrisico’s van hun netwerk- en informatiesystemen.
Niettegenstaande het voorgaande noemt Verordening 2018/151 (EU) bepaalde elementen waarmee DSP’s rekening moeten houden, bij het bepalen van hun beveiligingsmaatregelen (zoals een risicoanalyse, operationele beveiliging, fysieke beveiliging en toegangscontrole).
De eisen die voor DSP’s worden genoemd, gelden ook voor AED’s. Bovenop deze vereisten zijn nog enkele bijkomende vereisten van toepassing op AED’s. In de eerste plaats moeten AED’s aan de hand van documentatie aantonen dat er een veiligheidsbeleid is ingevoerd, en in de tweede plaats moeten AED’s aantonen dat het veiligheidsbeleid is geïmplementeerd en uitgevoerd door middel van de tenuitvoerlegging van veiligheidsmaatregelen.
Een ander verschil tussen DSP en AED is de wijze van handhaving door de autoriteiten. In het geval van AED’s hebben de autoriteiten recht op een proactieve handhaving (d.w.z. dat zij AED’s kunnen controleren voordat zich een incident voordoet). In het geval van DSP’s is de handhaving re-actief (d.w.z. dat de autoriteiten alleen DSP’s zullen controleren wanneer zich een incident voordoet).
Kennisgeving
Zowel voor DSP’s als voor AED’s geldt de verplichting om veiligheidsincidenten te melden met het oog op het beheer en de preventie van veiligheidsincidenten. Een incident is elke gebeurtenis met een reëel schadelijk effect op de veiligheid van een netwerk- en informatiesysteem.
De AED’s moeten de sectorale autoriteit “onmiddellijk” in kennis stellen wanneer zij kennis krijgen van een incident dat a) ernstige gevolgen heeft voor de continuïteit van de door de ODA verleende dienst of b) een inbreuk vormt op de beveiliging van het netwerk en de informatiesystemen die ernstige gevolgen kan hebben voor de continuïteit van de door de AED verleende dienst. DSP’s hebben een meldingsplicht in geval van een incident dat ernstige gevolgen heeft voor de continuïteit van de door het DSP verleende diensten.
Bij de beoordeling van de vraag of er al dan niet kennisgeving moet worden gedaan, moeten de AED’s en de DSP’s rekening houden met het volgende: a) het aantal gebruikers dat wordt getroffen door de onderbreking van de dienst, b) de duur van het incident, c) de omvang van het geografische gebied dat door het incident wordt getroffen, d) de omvang van de onderbreking van de werking van de dienst en e) de omvang van de gevolgen voor de economische en maatschappelijke activiteiten.
Voor DSP’s is in Verordening 2018/151 uitgewerkt in welke gevallen een incident ernstige gevolgen heeft (en dus gemeld moet worden): a) de dienst is in de EU meer dan 5 miljoen uur niet beschikbaar, b) het incident heeft negatieve gevolgen voor meer dan 100.000 gebruikers met betrekking tot de integriteit, vertrouwelijkheid of authenticatie van de dienst, c) een of meer gebruikers van de dienst hebben meer dan 1 miljoen euro schade als gevolg van het incident, d) er is een risico voor de openbare veiligheid of het verlies van een of meer mensenlevens.
NIS-2-richtlijn: wat verandert er?
Uit de evaluatie van de NIS-1-richtlijn is gebleken dat de “werkingssfeer” te beperkt is en dat veel verplichtingen onduidelijk zijn. Bovendien hebben de lidstaten te veel vrijheid om eisen te stellen op het gebied van beveiliging en kennisgeving, wat leidt tot extra belemmeringen voor organisaties die in meer dan één lidstaat actief zijn. De handhavingsregeling wordt als ondoeltreffend beschouwd en er is geen systematische uitwisseling van informatie tussen de lidstaten.
In het kader van NIS-2 zal het toepassingsgebied aanzienlijk worden verruimd. NIS-2 zal op veel meer sectoren van toepassing zijn dan NIS-1. NIS-2 zal van toepassing zijn op autofabrikanten, fabrikanten van medische hulpmiddelen, de chemische industrie, de levensmiddelenindustrie, post- en koeriersdiensten en platforms voor sociale media.
In NIS-2 zal een onderscheid worden gemaakt tussen “essentiële entiteiten” en “belangrijke entiteiten”. Voor “essentiële entiteiten” zal een strengere regeling voor de handhaving van beveiligingsmaatregelen gelden. Opmerkelijk is dat aanbieders van clouddiensten in het kader van NIS-2 onder de definitie van “essentiële entiteiten” zullen vallen. Er zal echter een duidelijke bovengrens aan de omvang worden gesteld. NIS-2 zal alleen van toepassing zijn op middelgrote en grote organisaties (tenzij een kleine entiteit een zeer hoog beveiligingsrisicoprofiel heeft): alle entiteiten in een van de genoemde sectoren met ten minste 50 werknemers en een omzet van ten minste 10 miljoen euro per jaar.
Een belangrijk verschil met NIS 1 is dat NIS-2 een lijst van zeven (7) basisbeveiligingselementen/eisen zal invoeren die alle entiteiten moeten aanpakken of implementeren als onderdeel van de beveiligingsmaatregelen die zij nemen, met inbegrip van risicoanalyse en beleid inzake de beveiliging van informatiesystemen, reactie op incidenten, bedrijfscontinuïteit en crisisbeheer, beveiliging van de toeleveringsketen, beoordeling van de doeltreffendheid van risicobeheersmaatregelen, en versleuteling en openbaarmaking van kwetsbaarheden.
Deze beveiligingsmaatregelen zijn niet alleen van toepassing op de entiteiten zelf, maar ook op de keten van onderaannemers/leveranciers waarop een beroep wordt gedaan. Dit is belangrijk, omdat beveiligingsproblemen heel vaak voortvloeien uit problemen op het niveau van een onderaannemer/leverancier. Een duidelijk voorbeeld is het gebruik van hostingproviders door aanbieders van clouddiensten.
NIS-2 kent een tweefasen-aanpak voor het melden van incidenten. Betrokken organisaties moeten binnen 24 uur nadat zij voor het eerst kennis hebben gekregen van een incident een melding doen, gevolgd door een eindrapportage met betrekking tot het incident binnen een maand.
Het NIS-2 voert sancties in die in overeenstemming zijn met de sancties die momenteel van toepassing zijn krachtens de Algemene verordening gegevensbescherming (“GDPR”). NIS-2 bevat een lijst van administratieve sancties die kunnen worden opgelegd wanneer entiteiten de verplichtingen op grond van NIS-2, zoals het beheer van cyberbeveiligingsrisico’s, de meting van de basisbeveiliging of hun rapportageverplichtingen op grond van de NIS-2-richtlijn, niet nakomen. Deze sancties omvatten bindende instructies, een bevel om de aanbevelingen van een beveiligingsaudit uit te voeren en een bevel om de beveiligingsmaatregelen in overeenstemming te brengen met de NIB-vereisten. NIS2 voorziet ook in administratieve boetes tot 10 miljoen euro of, als dat meer is, 2% van de totale omzet van de entiteiten wereldwijd.
Wat kan NIS-2 betekenen voor de beveiligingspraktijk?
De verbreding van het toepassingsgebied en de sectoren ten opzichte van NIS-1 betekent dat onder NIS-2 meer organisaties zich met (cyber)beveiliging zullen moeten bezighouden. Voor deze organisaties is het van belang om a) een analyse te maken van mogelijke beveiligingsrisico’s, b) een risico-gebaseerde benadering van beveiliging te hanteren en c) de beveiligingsproblematiek binnen de organisatie aan te pakken. Dit laatste betekent dat organisaties moeten overwegen een Incident response plan voor cyberbeveiligingsincidenten op te stellen en een persoon aan te wijzen die verantwoordelijk is voor cyberbeveiliging en daarmee verband houdende incidenten (die nauw kan samenwerken met de functionaris voor gegevensbescherming (indien aangesteld).
Voorts zal het in het kader van NIS-2 niet alleen van belang zijn te kijken naar de eigen beveiliging binnen de organisatie, maar ook naar aspecten van beveiliging buiten de organisatie, waarbij beveiliging van de toeleveringsketen een te nemen beveiligingsmaatregel vormt. Dit betekent dat contracten met partijen die systemen leveren of diensten verlenen die van invloed zijn op de beveiliging, zorgvuldig moeten worden beoordeeld. Wat is er afgesproken met IT-leveranciers of andere onderaannemers met betrekking tot beveiligingsmaatregelen en het melden van incidenten?
Tot slot kan NIS-2 een goede stimulans zijn om eens nader te bekijken wat er in de verzekeringen die een organisatie heeft afgesloten staat over de dekking van (cyber)security incidenten.
