De NIS2-richtlijn komt eraan, de wet is voorlopig goedgekeurd en wordt naar verwachting in de herfst gepubliceerd. Dit betekent simpel gezegd dat de richtlijn dan definitief is en toegepast zal moeten gaan worden in de Nederlandse wetgeving. Lidstaten van de EU krijgen dan 21 maanden om de richtlijn op te nemen in de nationale wetgeving, waarna de wetgeving waarschijnlijk medio 2024 in Nederland in werking zal treden. Zodra de richtlijn opgenomen is in de Nederlandse wetgeving zullen organisaties de NIS2-richtlijn moeten te gaan volgen.
Maar hoe zal de richtlijn precies doorgevoerd gaan worden in de Nederlandse wetgeving? Dat is nog even de vraag. Waarschijnlijk wordt de richtlijn in ieder geval meegenomen in de nieuwe cybersecuritystrategie van het Ministerie van Economische zaken en Klimaat. Binnenkort horen we dus hopelijk meer. In de vorige blog heb je alvast kunnen lezen hoe de herziene richtlijn er waarschijnlijk uit gaat zien, maar wat kunnen we nu precies gaan verwachten van de NIS2? Dat vertellen we je in deze blog.
De impact van NIS2
Zoals je in de vorige blog hebt kunnen lezen worden er met de invoering van de NIS2-richtlijn nieuwe sectoren toegevoegd aan de opsomming waarbinnen sprake is van ‘essentiële entiteiten’ en zullen er aan de bestaande sectoren extra subsectoren toegevoegd worden. Daarnaast komt er een nieuwe categorie bij, de categorie ‘belangrijk’. In totaal omvat de NIS2 richtlijn acht ‘hoofdsectoren’ extra in vergelijking met de NIS. De categorie digitale dienstverleners (DSP’s) komt te verdwijnen als aparte categorie. De aanbieders die daarbinnen vallen, worden verdeeld onder de categorieën essentieel en belangrijk. Ook worden essentiële en belangrijke entiteiten niet meer aangewezen door de lidstaten, maar worden organisaties centraal als zodanig aangemerkt als ze actief zijn in de sectoren zoals vermeld in bijlage 1 van de richtlijn. Dit geldt in beginsel met uitzondering van kleine- en micro-ondernemingen. Lidstaten hebben de bevoegdheid extra entiteiten aan te wijzen op wie de bepalingen va de richtlijn van toepassing zijn. Daarnaast bespraken we ook al dat organisaties bij de nieuwe richtlijn te maken kunnen krijgen met boetes en schorsingen om organisaties aan te sporen echt stappen te nemen en te investeren in hun digitale veiligheid.
Proces
De richtlijn zal naar verwachting in de komende maanden definitief gemaakt worden. Sinds 2016 zijn verschillende organen binnen de EU bezig geweest met het vormgeven van NIS2, en nu zal de publicatie niet lang meer op zich laten wachten. Daarna hebben lidstaten van de Europese Unie 21 maanden om de wetgeving door te voeren. Zodra deze wetgeving is geïntroduceerd in Nederland zal er sprake zijn van een zorgplicht en meldplicht voor alle sectoren en subsectoren die vallen onder de NIS2-richtlijn. Ook komt er meer handhaving en afhankelijk van de sector zal dit proactief of achteraf n.a.v. een incident gedaan worden. Binnenkort vertellen we hier meer over.
Verplichtingen
Dankzij de NIS2 krijgen een stuk meer sectoren na invoering van de richtlijn te maken met uitgebreidere cybersecurity vereisten en zullen essentiële en belangrijk entiteiten passende en evenredige technische en organisatorische maatregelen moeten nemen om beveiligingsrisico’s te beheren. Zo wordt de zorgplicht en meldplicht voor essentiële en belangrijke entiteiten uitgebreid. Zij moeten maatregelen gaan nemen zoals het maken van back-ups, het uitvoeren van risico-analyses en bedrijven zullen verplicht worden om incidenten met een aanzienlijke impact op de dienstverlening te melden. De overheid moet dadelijk dan ook deze bedrijven ter verantwoording roepen. Bart Groothuis zegt hierover dat de verantwoordelijkheid voor het naleven van de eisen bij de CEO komt te liggen en dat er geprobeerd wordt de administratieve druk zo laag mogelijk te houden.
Toch klinkt de aankomende richtlijn en bijbehorende wetgeving als een flinke stap voor veel bedrijven. Zowel grote als kleinere organisaties krijgen vanwege de aard van hun werkzaamheden te maken met de nieuwe cybersecurity vereisten. Waarbij de zorg- en meldplicht ook zowel proactief voor de vitale sectoren als reactief voor de belangrijke sectoren gehandhaafd zal worden vanuit de overheid. De proactieve handhaving zal steekproefsgewijs worden uitgevoerd zonder dat er sprake is van een incident. De reactieve handhaving voor de belangrijke sectoren zal n.a.v. incidenten plaatsvinden om te zien of de desbetreffende organisaties wel hebben voldaan aan hun zorg- en meldplicht.
Implicaties, regeldruk en administratieve lasten
Om te zorgen voor een veiligere digitale samenleving wordt op deze manier van organisaties gevraagd om daar hun verantwoordelijkheid in te pakken. Dit brengt echter diverse implicaties met zich mee waar bedrijven zich bewust van moeten zijn.
Het voorstel tot herziening van de NIS-richtlijn zal ook financiële consequenties met zich meebrengen voor bedrijven. Zo laat de uitgevoerde impact assessment van de Commissie zien dat het ICT-budget van bedrijven die nu nog niet onder de richtlijn vallen naar verwachting met maximaal 22% wordt verhoogd en voor bedrijven die nu al wel onder de richtlijn vallen zal dit maximaal 12% zijn. Ook de administratieve lasten zullen verhoogd worden als gevolg van de aangepaste zorg- en meldplicht voor organisaties. Bezien moet worden of de ICT-investeringen zich in de praktijk zullen gaan terug verdienen en of bedrijven concurrentievoordelen zullen ervaren als gevolg van een hoger niveau van cyberbeveiliging.
Al met al zijn de verwachtingen dat de NIS2-richtlijn niet alleen kan gaan leiden tot fikse boetes en strengere handhaving en verplichting, maar daarnaast dat het ook een grote stap zal zijn naar een digitaal veiligere economische keten in de Europese Unie. Met als doel natuurlijk om te voorkomen dat cyberaanvallen onze samenleving kunnen ontwrichten.
Is jouw organisatie er klaar voor?
Op deze pagina lees je alles over de NIS2-richtlijn.