NIS2-richtlijn: nieuwe regels inzake cyberbeveiliging van netwerk- en informatiesystemen

Cybersecurity omvat het beschermen van netwerk- en informatiesystemen (NIS), hun gebruikers en andere getroffen personen tegen cyberincidenten en -bedreigingen. Om te reageren op de toegenomen blootstelling van Europa aan cyberdreigingen is Richtlijn 2022/2555, ook bekend als NIS2, in de plaats gekomen van zijn voorganger, Richtlijn 2016/1148 of NIS1. NIS2 verhoogt het gemeenschappelijke ambitieniveau van de EU op het gebied van cyberbeveiliging door middel van een breder toepassingsgebied, duidelijkere regels en sterkere toezichtinstrumenten. Op grond daarvan moeten de lidstaten hun cyberbeveiligingscapaciteiten verbeteren en tegelijkertijd risicobeheersmaatregelen en rapportagevereisten invoeren voor entiteiten uit meer sectoren en regels vaststellen voor samenwerking, informatie-uitwisseling, toezicht en handhaving van cyberbeveiligingsmaatregelen.

De richtlijn schrijft voor dat elke lidstaat een nationale cyberbeveiligingsstrategie vaststelt, die beleidsmaatregelen omvat voor de beveiliging van de toeleveringsketen, kwetsbaarheidsbeheer en voorlichting en bewustmaking op het gebied van cyberbeveiliging. De lidstaten moeten ook een lijst van aanbieders van essentiële diensten opstellen en regelmatig bijwerken om ervoor te zorgen dat deze entiteiten aan de eisen van de richtlijn voldoen. 

Naast de sectoren die reeds onder NIS 1 vallen, zoals energie, vervoer, gezondheidszorg, financiën, waterbeheer en digitale infrastructuur, zijn deze regels van toepassing op aanbieders van openbare elektronische-communicatiediensten, meer digitale diensten zoals sociale platforms, afvalwater- en afvalbeheer, de productie van kritieke producten, post- en koeriersdiensten, overheidsdiensten, zowel op centraal als op regionaal niveau of in de ruimte. In de regel zullen middelgrote en grote entiteiten in deze kritieke sectoren passende maatregelen voor het beheer van cyberbeveiligingsrisico’s moeten nemen en de relevante nationale autoriteiten in kennis moeten stellen van significante incidenten. Dit zijn incidenten die aanzienlijke verstoring of schade kunnen veroorzaken. 

De richtlijn bevat ook bepalingen voor toezicht, handhaving en vrijwillige collegiale toetsingen om het wederzijds vertrouwen en de cyberbeveiligingscapaciteiten in de hele EU te vergroten. Het introduceert ook de verantwoordingsplicht van het topmanagement voor niet-naleving van maatregelen voor het beheer van cyberbeveiligingsrisico’s, waardoor cyberbeveiliging onder de aandacht van de bestuurskamer wordt gebracht.

Met de richtlijn wordt een netwerk van Computer Security Incident Response Teams (CSIRT's) opgezet om informatie over cyberdreigingen uit te wisselen en te reageren op incidenten. Deze teams zijn cruciaal voor het handhaven van situationeel bewustzijn en het bieden van hulp. Om grootschalige cyberincidenten of -crises te beheren, wordt met de richtlijn het Europees netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) opgericht. Dit netwerk ondersteunt gecoördineerd beheer en zorgt voor regelmatige informatie-uitwisseling tussen de lidstaten en de EU-instellingen in geval van grootschalige incidenten en crises. 

Tegelijkertijd is de NIS-samenwerkingsgroep een bij de NIS-richtlijn opgericht platform om strategische samenwerking en informatie-uitwisseling tussen de EU-lidstaten, de Europese Commissie en het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) te vergemakkelijken. De groep publiceert niet-bindende richtsnoeren en aanbevelingen ter ondersteuning van de uitvoering van de NIS-richtlijn.

Achtergrond

NIS 1 (Richtlijn 2016/1148) was de eerste uitgebreide EU-wetgeving ter bevordering van de cyberbeveiliging van netwerk- en informatiesystemen om vitale diensten voor de economie en de samenleving van de EU te waarborgen. In december 2020 heeft de Commissie voorgesteld NIS 1 te herzien, wat heeft geleid tot de vaststelling van NIS 2, die in januari 2023 in werking is getreden. De lidstaten hadden tot 17 oktober 2024 de tijd om de NIS2-richtlijn in nationaal recht om te zetten. NIS 2 heeft NIS1 ingetrokken met ingang van 18 oktober 2024.