https://ploum.nl/uploads/Artikelen_en_Track_Records_en_expertise/IT-recht/programmeren.jpg

NIS2 – cybersecurityrichtlijn: Europese en nationale ontwikkelingen

03 feb '23

Auteur(s): Hugo van Aardenne en Jouko Barensen

Op 27 december 2022 werd de NIS2-richtlijn gepubliceerd, de cybersecurity-richtlijn voor de vitale sectoren. Het is nu aan de lidstaten om deze uitgebreide richtlijn om te zetten in nationale wetgeving. In oktober 2024 moet de richtlijn zijn omgezet en moet de nationale wet op grond van de NIS2 worden toegepast.

In de tussentijd moet het nationale wetgevingstraject worden doorlopen, moeten de toezichthouders zich klaarmaken én moeten de vitale sectoren de cybersecurityregels implementeren. Afwachten is dan geen optie. Sterker, het tijdig implementeren van deze regels is juist positief voor de Europese economie volgens Moody’s.

De eerste cybersecurityrichtlijn (NIS1) is van toepassing op zeven sectoren. De NIS2 is van toepassing op maar liefst achttien sectoren. En een terechte en veel gehoorde vraag is; hoe gaat het toezicht er dan uitzien? Wie gaat er toezicht houden op welke sector?

Toezicht op cybersecuritybeleid

Op dit moment – februari 2023 – wordt door de volgende autoriteiten toezicht gehouden op de Wet beveiliging netwerk- en informatiesystemen (Wbni), dat is de Nederlandse implementatie van NIS1-richtlijn (zie hier).

  • Rijksinspectie Digitale Infrastructuur (RDI per 1 januari 2023)
  • De Nederlandsche Bank
  • Inspectie Leefomgeving en Transport
  • Inspectie Gezondheidszorg en Jeugd

Deze autoriteiten zijn nú aangewezen als toezichthouder voor hun specifieke sectoren. In artikel 8 van de NIS2 is bepaald dat elke lidstaat zelf over gaat tot het aanwijzen óf instellen van een of meer bevoegde autoriteiten. Die autoriteiten zijn dan verantwoordelijk voor cyberbeveiliging en belast met de toezichthoudende taken uit de NIS2-richtlijn. De reeds bestaande en mogelijk nieuwe toezichthouders zullen hun plek krijgen in de Wbni. Het is voor alle bestaande én nieuwe sectoren dus goed om de ontwikkelingen op dat gebied in de gaten te houden, om te bepalen wie straks uw cybersecuritybeleid komt toetsen.

Wbni steeds breder ingezet

Bijzonder in dat kader is dat de Wbni meer (en steeds meer) omvat dan de implementatie van de Europese cybersecurityregels. Zo heeft de nationale wetgever ook andere sectoren aangewezen die niet in de NIS-richtlijn staan. Denk hierbij bijvoorbeeld aan de sectoren ‘keren en beheren’ en ‘nucleair’. De Wbni wordt in die zin gebruikt voor meer onderdelen dan de implementatie de NIS1- en NIS2-richtlijn.

Naast de sectoren die als vitaal worden aangemerkt, voorziet de Wbni ook in regels die gaan over de niet-vitale sectoren. Die regels gaan niet over beveiligingseisen waar zij aan moeten voldoen, maar over een wettelijke grondslag om dreigingsinformatie te delen.

Tot 1 december 2022 mocht het Nationaal Cyber Security Centrum (NCSC) namelijk niet direct beschikbare dreigingsinformatie delen met bedrijven buiten de vitale sectoren die onder het NCSC vallen. Vanaf 1 december 2022 is een wetswijziging van kracht geworden die dit wel mogelijk maakt. Het is dus mogelijk dat uw bedrijf – indien geen onderdeel van een vitale sector – toch hele specifieke dreigingsinformatie kan ontvangen van het NCSC over een mogelijk incident.

Daarnaast is per 1 december 2022 ook een bepaling (artikel 20 lid 2 sub a Wbni) van kracht geworden die het mogelijk maakt voor het NCSC om dreigingsinformatie te delen met zogenaamde ‘schakelorganisaties’.

Deze organisaties zijn via de Minister van Justitie en Veiligheid en het NCSC aangewezen als schakelorganisaties. Dat zijn op dit moment – februari 2023 – de volgende organisaties.

  • het Digital Trust Center, onderdeel van het Ministerie van Economische Zaken en Klimaat;
  • de Vereniging Abuse Information Exchange;
  • de Stichting Nationale Beheersorganisatie Internet Providers;
  • de Stichting Cyber Weerbaarheidscentrum Brainport;
  • de Vereniging Cyberveilig Nederland;
  • de Stichting Connect2Trust;
  • de Stichting FERM.

Samenvattend; de ontwikkelingen volgen elkaar in een snel tempo op. Helaas is dat ook hard nodig omdat de dreigingen niet denkbeeldig zijn maar reëel. Het cybersecurity-landschap juridiseert dus net zo snel. Als u hierover meer wilt weten, op grote lijnen, meer in detail of specifiek wat dit voor uw organisatie betekent, dan staan wij voor u klaar.

Contact

Advocaat

Hugo van Aardenne

Expertises:  Strafrecht, Bestuursrecht, Cybersecurity , Handhaving en sancties, Internationale Sancties en Exportcontrole , Interne onderzoeken,

Advocaat

Jouko Barensen

Expertises:  Strafrecht, Bestuursrecht, Afvalstoffenrecht, Milieurecht , Cybersecurity , Transport en Logistiek, BRZO, Handhaving en sancties,

Deel dit artikel

Blijf op de hoogte

Klik op het plusje en schrijf je in voor updates over dit onderwerp.

Expertise(s)

Onderwerp(en)

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.