02 nov '22
Mogelijk heeft u inmiddels gehoord van de NIS-richtlijn (NIS staat voor ‘Netwerk- en informatiesystemen’). En mogelijk heeft u ook gehoord van de NIS2-richtlijn. Maar het is ook goed mogelijk dat dit u nog niets zegt. Dat is nu nog niet zo erg, maar binnenkort verandert dat. Omdat de NIS2-richtlijn allerlei nieuwe verplichtingen in het leven roept op het gebied van cybersecurity. Die raken mogelijk uw bedrijf, of u zelf.
In sommige gevallen zal door de overheid proactief worden gehandhaafd. Dit artikel vertelt u over de minimumeisen waaraan uw bedrijf nu en straks moet voldoen, en over de mogelijke consequenties als uw bedrijf daaraan niet voldoet.
De ontwikkelingen op het gebied van cybersecurity (en cybercrime) gaan razendsnel. Inmiddels wordt onze afhankelijkheid van digitale technologie en het internet alleen maar groter (in 2024 zullen naar verwachting ruim 22 miljard apparaten met het internet zijn verbonden). De meest recente Nederlandse cybersecuritystrategie, die op 10 oktober jl. het daglicht zag, stelt dat de digitale dreiging permanent is en eerder toe- dan afneemt.
De eerste Europese richtlijn op het gebied van netwerk- en informatiebeveiliging, de NIS-richtlijn, dateert van 2016. Deze richtlijn is dus nog niet heel oud. Vanwege het hiervoor genoemde tempo waarmee cybersecurity en alle daarmee samenhangende aspecten zich ontwikkelen vond de Europese Commissie het in 2020 echter al nodig dat er een tweede NIS-richtlijn kwam, de NIS2-richtlijn. De NIS2-richtlijn maakt deel uit van een breder Europees ‘cyberoffensief’, waarvan het gevolg is dat eenieder met meerdere wetten en regels te maken krijgt. Naast de NIS2-richtlijn behoren hiertoe bijvoorbeeld ook de Digital Operational Resilience Act (DORA) en de voorgestelde Cyber Resilience Act. Deze zullen wij in dit artikel niet bespreken.
De NIS2 treedt naar verwachting tussen eind 2022 en medio 2023 in werking. Vanaf dan hebben de lidstaten een klein twee jaar de tijd om de richtlijn te implementeren in hun nationale wetgeving. Tot die tijd blijft de huidige NIS-richtlijn geldig. Deze is in Nederland via de Wet Beveiliging netwerk- en informatiesystemen (Wbni) geïmplementeerd in Nederlands recht. De NIS2-richtlijn zal ook via de Wbni, die dus zal worden aangepast, worden geïmplementeerd in Nederlands recht.
In dit artikel beschrijven wij welke verplichtingen de toekomstige (par. 2) en huidige (par. 3) richtlijn bevatten. Ook beschrijven wij (par. 4) hoe schending van deze verplichtingen tot bestuurs- en civielrechtelijke aansprakelijkheid kan leiden en (par. 5) tot welke aanbevelingen dat leidt. Wij bespreken eerst de NIS2, omdat deze voor veel meer entiteiten gaat gelden dan de NIS.
Bereik
De NIS2-richtlijn heeft een bredere toepassing dan de eerste NIS-richtlijn. Een belangrijk gevolg is dat veel meer bedrijven te maken krijgen met de verplichtingen die voortvloeien uit de richtlijn. Het gaat hierbij om ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. In Bijlagen I en II bij de NIS2-richtlijn wordt beschreven welk soort entiteit in welke (sub)sector essentieel respectievelijk belangrijk is.
Voorbeelden van essentiële entiteiten zijn:
Elektriciteitsbedrijven, raffinaderijen, luchtvaartmaatschappijen, spoorwegbedrijven, kredietinstellingen, ziekenhuizen, drinkwaterbedrijven, aanbieders van cloudcomputingdiensten en datacenterdiensten.
Voorbeelden van belangrijke entiteiten zijn:
Aanbieders van postdiensten, afvalstoffenbeheerders, levensmiddelenbedrijven en ondernemingen die machines, transportmiddelen, elektronica of medische hulpmiddelen vervaardigen.
De grootte van een bedrijf is niet van doorslaggevende invloed op het antwoord op de vraag of de NIS2-richtlijn op dat bedrijf van toepassing is. Het gaat er ook niet om waar een bedrijf is gevestigd, maar waar de bedrijfsactiviteiten worden ontplooid.
Governance
De NIS2 beschrijft een aantal belangrijke verplichtingen die voor deze entiteiten gaan gelden. Allereerst betreft het governance. Bestuursorganen c.q. het bestuur van essentiële en belangrijke entiteiten moeten de genomen maatregelen op het gebied van risicobeheer goedkeuren. Maar ze zijn ook verantwoordelijk voor de eventuele niet-naleving van de verplichtingen. Om die reden moeten ze toezien op de naleving van de regels.
Leden van bestuursorganen moeten verder voldoende kennis en vaardigheden hebben om de risico’s en de beheerspraktijken op het gebied van cybersecurity en de gevolgen voor de activiteiten van de entiteit te kunnen opsporen en beoordelen. Het gaat er dus in de toekomst ook om dat het juiste personeel op de juiste wijze is geschoold. Dit is een eerste aanwijzing dat er steeds meer aandacht komt voor de persoonlijke verantwoordelijkheid van bestuursleden.
Minimumlevel van beveiliging
De lidstaten moeten ervoor zorgen dat de essentiële en belangrijke entiteiten bij het aanbieden van hun diensten passende maatregelen nemen om cyberrisico’s te beheren. De maatregelen moeten zijn afgestemd op de risico’s, maar ze moeten op zijn minst een aantal zaken omvatten, namelijk:
Een entiteit die niet aan deze minimumeisen voldoet, is verplicht om alle nodige maatregelen te nemen om de betreffende aangeboden dienst in overeenstemming met de richtlijn te brengen.
Rapportageverplichting en meldplicht onder de NIS2
Een groot deel van de lezers zal bekend zijn met de verplichtingen rondom het melden van datalekken bij de Autoriteit Persoonsgegevens (AP) of bij betrokkenen zelf. Een minder groot deel is vermoedelijk bekend met de reeds bestaande meldplicht die onder de NIS c.q. de Wbni bestaat. Deze meldplicht gaat onder de NIS2 voor meer bedrijven gelden.
Elk incident dat ‘aanzienlijke gevolgen heeft voor de verlening van de diensten’ van een entiteit moet worden gemeld bij de bevoegde autoriteit. Dat kan het Nationaal Cybersecurity Center zijn (het NCSC), maar het kan ook een andere autoriteit zijn, zoals de Autoriteit Consument & Markt (ACM) of het Agentschap Telecom. Het is dus mogelijk dat één incident meerdere malen moet worden gemeld.1 Dit wordt nader in de wet (of onderliggende regelgeving) bepaald. Wij schatten in dat dit zal samenhangen met de sector waartoe een entiteit behoort.
Zo’n incident wordt in de NIS2 een ‘significant incident’ genoemd. Naast zulke incidenten moeten ook dreigingen die tot een dergelijk incident hadden kunnen leiden, worden gemeld.
De melding dient binnen 24 uur (!) nadat het incident is bemerkt plaats te vinden. En na uiterlijk een maand moet een eindverslag worden ingediend waarin de aard van het incident wordt beschreven, alsmede de gevolgen die het had. Ook moet worden beschreven wat de oorzaak was en welke maatregelen zijn genomen om de gevolgen te beperken. In bepaalde gevallen kan het publiek door de autoriteiten worden geïnformeerd of kan worden verlangd dat de entiteit dat zelf doet.
Toezicht en handhaving onder de NIS2
Het verschil tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’ komt naar voren op het punt van toezicht en handhaving. De lidstaten moeten ervoor zorgen dat de toezichts- of handhavingsmaatregelen die aan essentiële entiteiten kunnen worden opgelegd, afschrikwekkend zijn. De essentiële entiteiten kunnen bovendien worden onderworpen aan proactief toezicht (lees: inspecties, audits, beveiligingsscans). Dat geldt niet voor de belangrijke entiteiten.
Zowel essentiële als belangrijke entiteiten kunnen waarschuwingen en bindende instructies krijgen. Tevens kunnen aan beide soorten entiteiten geldboetes worden opgelegd. Dat is al zo onder de huidige NIS-richtlijn, maar de mogelijkheden daartoe worden ruimer.
Indien dit alles onvoldoende effect sorteert, kunnen bij essentiële entiteiten de bedrijfsactiviteiten deels of geheel worden stilgelegd. Ook kan een tijdelijk verbod worden opgelegd aan leidinggevenden en andere natuurlijke personen die voor de inbreuk verantwoordelijk worden gehouden om leidinggevende functies in de essentiële entiteit uit te oefenen. Dit is een tweede aanwijzing voor de persoonlijke verantwoordelijkheid van het bestuur.
In het kader van aansprakelijkheid bevat de NIS2 een interessante bepaling in artikel 29 lid 6. Hierin wordt namelijk bepaald dat personen die vertegenwoordigingsbevoegd zijn voor essentiële entiteiten, de bevoegdheid krijgen om ervoor te zorgen dat de essentiële entiteit de verplichtingen uit de richtlijn nakomt. Lid 6 bepaalt verder het volgende: ‘De lidstaten zorgen ervoor dat deze natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om de in deze richtlijn vastgestelde verplichtingen na te komen.’ Dit is een overduidelijke derde aanwijzing voor de verantwoordelijkheid van natuurlijke personen.
Met betrekking tot de belangrijke entiteiten vindt alleen toezicht achteraf plaats. Wel kunnen ook informatieverzoeken en beveiligingsscans worden gedaan en gerichte audits worden gehouden. En als gezegd: ook met betrekking tot belangrijke entiteiten kunnen de autoriteiten bindende instructies geven.
Interessant is dat de NIS2 tamelijk uitgebreide voorschriften bevat waarmee de bevoegde gezagen rekening moeten houden wanneer zij handhavend optreden. Hun besluiten moeten uiteraard goed gemotiveerd te zijn, en de rechten van de verdediging eerbiedigen.
Boetes onder de NIS2
Wanneer de maatregelen voor het beheer van cyberveiligheidsrisico’s onvoldoende zijn, of wanneer de rapportageverplichting wordt geschonden, kunnen boetes worden opgelegd. Daarbij geldt dat deze maximumboetes tenminste € 10 miljoen bedragen of 2 procent van de wereldwijde jaaromzet – afhankelijk van welk bedrag hoger is. Naast boetes kunnen de lidstaten ook voorzien in de mogelijkheid om dwangsommen op te leggen.2
Het is niet ondenkbaar dat een inbreuk ook gevolgen heeft op het gebied van persoonsgegevens. In dergelijke situaties is naast de NIS2 ook de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Die verordening biedt, net als de NIS2, mogelijkheden om handhavend op te treden. En ook biedt die verordening de mogelijkheid om geldboetes op te leggen. De AP doet dit inmiddels regelmatig.
Een geldboete is een punitieve sanctie. Hoewel het opleggen van meerdere punitieve sancties voor eenzelfde gebeurtenis in beginsel sowieso niet geoorloofd is, bevat de NIS2-richtlijn specifieke bepalingen waaruit nog eens volgt dat geen geldboete op grond van de NIS2 wordt opgelegd als al een geldboete op grond van de AVG is opgelegd. Een combinatie van een geldboete met een andere sanctie behoort echter wel tot de mogelijkheden.
Wij hebben hiervoor kort beschreven welke verplichtingen zullen gaan gelden na inwerkingtreding van de NIS2-richtlijn. Tot die tijd is de (eerste) NIS-richtlijn geldig. In Nederland is deze richtlijn via de Wbni geïmplementeerd in nationaal recht.
In de huidige richtlijn, de NIS-richtlijn, worden slechts ‘aanbieders van essentiële diensten’ en ‘digitale dienstverleners’ specifiek genoemd.
Bij de aanbieders van essentiële diensten moet worden gedacht aan elektriciteitsbedrijven en raffinaderijen, aan luchtvervoer, spoorvervoer en vervoer per water, aan het bankwezen, de gezondheidszorg en aan drinkwaterbedrijven, alsmede aan de digitale infrastructuur. Digitale dienstverleners zijn bijvoorbeeld zoekmachines, marktplaatsen en cloudcomputerdiensten.
De NIS-richtlijn bevat aanzienlijk minder specifieke bepalingen ten aanzien van handhaving en sancties dan de NIS2. De richtlijn stelt slechts dat nationale lidstaten voorschriften moeten vaststellen ten aanzien van de sancties die van toepassing zijn op overtredingen van nationale bepalingen. Die sancties moeten doeltreffend, evenredig en afschrikkend zijn.
In de huidige Wbni is wel al bepaald dat er boetes kunnen worden opgelegd, en ook dat de bevoegde autoriteiten bindende aanwijzingen kunnen geven of een last onder bestuursdwang kunnen opleggen. Hoewel deze boetes absoluut kunnen oplopen (tot maximaal € 5 miljoen), is het boetemaximum toch beperkter dan onder de NIS2. Bovendien zijn tot op heden, voor zover ons bekend is, nog geen boetes opgelegd op basis van overtreding van de Wbni. Dat zal zeker veranderen met de toenemende (regel)druk vanuit Europa op de lidstaten (en de daaruit voortvloeiende verplichtingen) om ervoor te zorgen dat de cybersecurity binnen de lidstaten op een hoger niveau wordt gebracht.
Het voorgaande geeft een beeld van de belangrijkste toekomstige én huidige verplichtingen op het gebied van cybersecurity. Naar onze verwachting zal in de toekomst in toenemende mate worden gehandhaafd. En wij verwachten dat daarbij steeds meer zal worden gekeken naar persoonlijke aansprakelijkheid.
Wij onderscheiden twee verschillende situaties: die waarin zich daadwerkelijk een incident heeft voorgedaan en die waarin dat niet het geval is. Ook in die laatste situatie gelden dus al verplichtingen voor de bedrijven die onder het bereik van de wet- en regelgeving vallen. Het is immers de bedoeling om cyberincidenten te voorkomen.
Voorkomen van incidenten
De huidige NIS en Wbni bepalen dat risico’s moeten worden beheerst en dat de maatregelen die daarvoor moeten worden genomen, passend en evenredig zijn, zowel op organisatorisch als op technisch niveau. Het voorkomen van incidenten is nu al een zelfstandige verplichting onder de Wbni.
De NIS2 verplicht in toenemende mate tot niet alleen het nemen van passende maatregelen, maar ook tot het goed vastleggen van die maatregelen (de governance-verplichting).
Om een beeld te krijgen van de maatregelen die als passend kunnen worden beschouwd, kan worden gekeken naar de handreiking die het Nationaal Cybersecurity Centrum heeft opgesteld, waarin de zogenaamde basismaatregelen staan, die elk bedrijf zou moeten invoeren. Het zijn er acht:
Wie deze basismaatregelen heeft ingevoerd én dit goed documenteert, maakt minder kans om het verwijt te krijgen dat niet is voldaan aan het minimumniveau van beveiliging. Let wel: het verschilt per bedrijfstak in hoeverre aanvullende maatregelen nodig zijn.
Omgaan met incidenten
Ook indien zich onverhoopt toch een serieus incident voordoet zijn er verplichtingen. Wij beschrijven hierna eerst wat de NIS en de Wbni op dit moment al bepalen en daarna wat de NIS2 gaat voorschrijven.
Een incident dat daadwerkelijk schade veroorzaakt, kan leiden tot bestuurs- en civielrechtelijke aansprakelijkheid van entiteiten en natuurlijke personen wanneer er onvoldoende maatregelen zijn genomen om de cyberveiligheid op het vereiste niveau te brengen, of wanneer niet adequaat wordt gereageerd op het incident.
Bij een incident geldt onder de huidige NIS/Wbni dat:
Onder de NIS2 geldt dat bij een incident:
Zoals gezegd, een eventuele meldplicht onder de NIS(2) staat los van een eventuele meldplicht die volgens de AVG kan bestaan, wanneer persoonsgegevens in het spel zijn. Daarnaast kunnen andere wetten andere verplichtingen zoals algemene zorgplichten bevatten.4
De vraag of er aangifte moet worden gedaan van het incident is weer een hele andere.5 En indien het betreffende bedrijf een cyberverzekering heeft, dient het incident uiteraard tijdig bij de verzekeraar te worden gemeld – die weer kan verlangen dat er aangifte wordt gedaan.
Overwegingen met betrekking tot aansprakelijkheden
Het verzuim om passende maatregelen te nemen ter voorkoming van incidenten kan nu en in de toekomst leiden tot bestuursrechtelijke aansprakelijkheid voor de bedrijven die onder de NIS en de NIS2 vallen. Ook natuurlijke personen kunnen, als gezegd, in toenemende mate bestuursrechtelijk verantwoordelijk worden gehouden onder de NIS2. Ook het verzuim om een incident (tijdig) te melden kan leiden tot bestuursrechtelijke aansprakelijkheden voor het bedrijf dat slachtoffer is, en voor de bestuurders van dat bedrijf. Hetzelfde geldt indien wordt nagelaten om de nodige maatregelen te nemen om de gevolgen van een incident te beperken.
Civielrechtelijke aansprakelijkheid zal naar verwachting vooral aan de orde zijn indien (beweerdelijk) schade is ontstaan als gevolg van een incident. Bijvoorbeeld wanneer als gevolg van een ransomware-incident dat de productie heeft stilgelegd, schade bij een afnemer ontstaat die daardoor niet aan zijn verplichtingen kan voldoen. Die aansprakelijkheid zal sneller aangenomen worden indien het betreffende bedrijf (de leverancier) zich niet aan de verplichtingen van (bijvoorbeeld) de NIS(2)-richtlijn of de Wbni heeft gehouden.
Stel bijvoorbeeld dat een bedrijf geen business-continuity-plan heeft. Het hebben van zo’n plan kan worden beschouwd als een aspect van het ‘minimumlevel van beveiliging’ zoals bedoeld in de NIS(2). Gesteld kan dan worden dat schending van die verplichting naast mogelijke bestuursrechtelijke aansprakelijkheid, ook civielrechtelijke aansprakelijkheid oplevert.
Of stel dat het bedrijf geen multifactor-authenticatie gebruikt, een van de basismaatregelen waarover het NCSC spreekt. Ook daarvan zou kunnen worden gesteld dat het invoeren van die basismaatregel dermate evident is dat het niet-invoeren ervan aansprakelijkheid oplevert. Dat geldt mogelijk zelfs voor bedrijven die niet onder de verplichtingen van de NIS(2) c.q. de Wbni vallen. Sterker nog: de AP heeft al boetes opgelegd vanwege schending van artikel 32 AVG.
Een ander voorbeeld is een bedrijf dat geen actuele back-ups heeft. Ook dat is een van de basismaatregelen van het NCSC. Dat dit kan leiden tot – in ieder geval beweerdelijke – aansprakelijkheid, blijkt uit een recente uitspraak van de rechtbank Rotterdam.
Ook het ontbreken van een adequate reactie op een incident kan leiden tot aansprakelijkheid. Dat is immers een omstandigheid die schending van de al bestaande verplichting om de gevolgen van incidenten te beperken oplevert.
Om dergelijke civielrechtelijke aansprakelijkheden zoveel mogelijk te vermijden of te beperken is het goed mogelijk dat het incident bij contractspartijen of het eigen personeel moet worden gemeld, of bij anderen die met de gevolgen van het incident te maken krijgen. De vraag of dat moet en wanneer, laat zich niet eenduidig beantwoorden. Dit is zeer casuïstisch. Uiteraard geldt dat een partij die schade lijdt of mogelijk schade zal lijden, zal verlangen dat men zo snel mogelijk wordt geïnformeerd.
Het is op dit moment nog niet duidelijk in hoeverre opgelegde bestuursrechtelijke sancties – bijvoorbeeld de schorsing die in de NIS2 wordt genoemd – in de toekomst kunnen leiden tot bestuurdersaansprakelijkheid.
U moet weten of uw bedrijf nu of in de toekomst onder de verplichtingen van de NIS(2)-richtlijn en de Wbni valt of komt te vallen. Als dat zo is, geeft dat verplichtingen.
De verplichtingen zien op het voorkomen van incidenten en op het omgaan met incidenten. Het invoeren van de basismaatregelen van het NCSC is in ieder geval een minimumvereiste voor bedrijven die onder de wettelijke verplichtingen vallen. Welke verplichtingen er verder nog kunnen bestaan is afhankelijk van het specifieke bedrijf c.q. de bedrijfstak.
Indien zich een incident voordoet is de kans groot dat schending van de verplichtingen die zien op het voorkomen van incidenten, ook civielrechtelijke aansprakelijkheid oplevert. Dat geldt echter ook als verplichtingen zijn geschonden die zien op de wijze waarop op het incident is gereageerd.
In deze gevallen kan dus zowel civielrechtelijke als bestuursrechtelijke aansprakelijkheid bestaan. Dat geldt voor bedrijven. En in de toekomst kunnen ook natuurlijke personen beboet worden, of zelfs worden geschorst. De handhaving zal daarbij naar verwachting intensiveren, zeker waar het essentiële entiteiten betreft.
Noten
1 Zie ook ‘Cybersecurity & Privacy: overlap van beveiligingseisen en samenloop van meldplichten?’ in Computerrecht 2018/250, en dit artikel op de site van het NGB: NIS2-richtlijn | Cybersecurity: voer voor de bedrijfsjurist | NGB.
2 De richtlijn voorziet overigens ook specifiek in de mogelijkheid om boetes op te leggen aan overheidsdiensten.
3 De betreffende algemene maatregel van bestuur is het Besluit beveiliging netwerk- en informatiesystemen (Bbni).
4 Hierbij kan bijvoorbeeld worden gedacht aan de Elektriciteitswet, de Gaswet, de Telecommunicatiewet of Wet op het financieel toezicht.
5 In zijn algemeenheid is het nimmer zo dat er een wettelijke verplichting is om aangifte te doen.
Contact
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
14 okt 24
13 okt 24
09 okt 24
07 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.