De belangrijkste stappen richting NIS2- en cybersecurity-compliance

Sinds 16 januari 2023 is de zogeheten Network and Information Systems Directive (NIS2-richtlijn) van kracht. De NIS2-richtlijn is bedoeld om de cyberbeveiliging en weerbaarheid van organisaties te verbeteren en bouwt voort op de eerdere NIS1-richtlijn. Vanaf  17 oktober 2024 moet deze richtlijn in de Nederlandse wet zijn geïmplementeerd en moeten organisaties aan deze nieuwe wetgeving voldoen. Het is raadzaam om tijdig te beginnen met de voorbereidingen, zo adviseert Osborne Clarke.

De NIS2 richtlijn is gericht op een steeds digitalere wereld, waarin cyberbeveiliging een belangrijk punt van zorg is geworden. Naarmate de technologie zich ontwikkelt, nemen ook digitale bedreigingen toe. Dit maakt het voor organisaties van cruciaal belang zich te beschermen tegen cyberaanvallen en te voldoen aan de veranderende regelgeving.

NIS2 wordt gezien als een belangrijke stap voorwaarts in het versterken van de veerkracht op het gebied van cyberbeveiliging in de Europese Unie (EU). Ten opzichte van de huidige cybersecurity regelgeving, bevat NIS2 nieuwe verplichtingen die, vanwege het bredere toepassingsbereik van de richtlijn, op veel meer organisaties van toepassing zijn. Organisaties binnen de financiële sector blijven – net als onder NIS1 – onder de toepassing van de richtlijn vallen.

Advocatenkantoor Osborne Clarke gaat in een recent advies in op de verplichtingen uit NIS2, en welke stappen er in verschillende EU-lidstaten al zijn gezet om de richtlijn te implementeren in nationale wetgeving. Ook zet Osborne Clarke in het advies uiteen welke maatregelen al genomen kunnen worden door organisaties om aan de richtlijn te voldoen.

Voor welke organisaties geldt NIS2?

NIS2 is van toepassing op zowel publieke als private entiteiten die actief zijn binnen de EU, gecategoriseerd als essentieel of belangrijk. Financiële dienstverleners met meer dan 250 werknemers en een jaaromzet van meer dan €50 miljoen en/of een balanstotaal van meer dan €43 miljoen, vallen in ieder geval onder de reikwijdte van NIS2.

Voor organisaties die onder de scope van NIS2 vallen, zullen nieuwe verplichtingen gaan gelden. Zo bevat NIS2 onder meer verplichtingen voor de rapportage van incidenten, en heeft de richtlijn gevolgen voor de aansprakelijkheidsstructuur binnen het management van een organisatie. Ook nemen de mogelijkheden voor nationaal toezicht op naleving van cyberbeveiliging toe.

De checklist in het kort

Osborne Clarke identificeert een aantal belangrijke maatregelen die organisaties nu alvast kunnen nemen om te voldoen aan NIS2 én om eventuele cyberdreiging zo goed mogelijk voor te blijven:

Risico's ten aanzien van cyberbeveiliging moeten doorlopend en grondig worden geanalyseerd; er moet een gedegen incidentbestrijdingsplan worden gemaakt; contracten moeten worden herzien, om ervoor te zorgen dat alle schakels in de toeleveringsketen voldoen aan de vereiste beveiligingsstandaarden.

Systemen en processen moeten worden ingericht op basis van het "security-by-design" principe; werknemers moeten getraind worden op bewustwording met betrekking tot cyberbeveiliging; en de NIS2-ontwikkelingen en -eisen moeten nauwlettend gevolgd en regelmatig geëvalueerd worden

NIS2 in Nederland

Omdat NIS2 een Europese richtlijn is, hebben de regels geen rechtstreekse werking in Europa. Lidstaten zullen de NIS2-richtlijn dus eerst moeten omzetten in nationale wetgeving. 

In Nederland zal in de zomer van dit jaar een wetsvoorstel worden gepubliceerd. Vervolgens hebben burgers, organisaties en overheidsinstellingen zes weken de tijd om met op- en aanmerkingen te komen op dit wetsvoorstel. Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz hoopt het wetsvoorstel na deze consultatieperiode aan de Tweede Kamer aan te bieden. Dit zal naar verwachting ergens dit najaar zijn.

Waarschijnlijk gaat Nederland de implementatiedeadline van 17 oktober 2024 dus niet halen. Vertraging van de implementatie zal als gevolg hebben dat de Nederlandse toezichthouder nog niet zal ingrijpen wanneer organisaties nog niet aan de verplichtingen voldoen op 17 oktober 2024, aangezien de naleving nog niet wettelijk afdwingbaar zal zijn op dat moment.

Wat te doen?

Organisaties die voorzien of vermoeden dat ze onder het toepassingsgebied van NIS2 zullen vallen, doen er volgens het advocaten- en notarissenkantoor verstandig aan zich ruim van tevoren voor te bereiden. Ook de Nederlandse overheid adviseert alle organisaties waarop NIS2 van toepassing zal zijn om alvast te beginnen met het implementeren van maatregelen op het gebied van cyberbeveiliging en NIS2.

Ook al zal de implementatiedeadline waarschijnlijk niet worden gehaald, is het raadzaam de ontwikkelingen omtrent NIS2 in de gaten te houden, om onnodige compliance risico's te voorkomen.

“Door risicobeoordelingen uit te voeren, incidentbestrijdingsplannen te ontwikkelen en een cultuur van bewustzijn van cyberbeveiliging te bevorderen, zijn organisaties goed op weg om aan de nieuwe verplichtingen te voldoen”, aldus Osborne Clarke.