Richtlijn Netwerk- en informatiebeveiliging (NIS2)

De NIS2-richtlijn is een Europese maatregel om de digitale en economische weerbaarheid van lidstaten te verbeteren. Nederland implementeert deze via de Cyberbeveiligingswet (Cbw), die de Wbni vervangt.
De site van het NCSC geeft hier meer informatie over.

Lees de volledige tekst van de NIS 2-richtlijn 
Lees de factsheet van de Europese Commissie

Organisaties die onder NIS2 vallen, krijgen rechten, plichten en toezicht. De eisen verschillen per organisatie, afhankelijk van de kwalificatie als essentiële of belangrijke entiteit.
Rechten: recht op bijstand bij incidenten in de vorm van advies en informatie door een Computer Security Incident Response Team (CSIRT), en bij het treffen van maatregelen om continuïteit van diensten te waarborgen of herstellen.
Zorgplicht: passende maatregelen om risico’s en incidenten te beheersen.
Meldplicht: incidenten binnen 24 uur melden bij toezichthouder en CSIRT.
Register en toezicht: registratie van entiteiten en controle op naleving van verplichtingen.

Wat passende maatregelen zijn zal naar verwachting niet in een landelijk normenkader worden opgelegd, maar aan de sectoren worden overgelaten. Daarbij zegt de overheid zoveel mogelijk te willen aansluiten bij al bestaande methodieken.

Veel leden van SURF werken al met het SURFaudit informatiebeveiliging toetsingskader of met de ISO 27000-serie. In artikel 21 van de NIS 2-richtlijn staan echter ook enkele concrete maatregelen die organisaties minimaal moeten treffen. Een deel daarvan komt al voor in het SURFaudit informatiebeveiliging toetsingskader en de ISO normen.

Voor hbo en wo wordt de Onderwijsinspectie naar verwachting de toezichthouder.

Ja, OCW is voornemens om SURFcert aan te wijzen als sectoraal CSIRT voor het hoger onderwijs (hbo en wo). De UMCs vallen onder Z-CERT. Zelfstandige bestuursorganen onder de CSIRT van de Rijksoverheid (NCSC).

SURF is momenteel aan het uitwerken hoe de CSIRT taak goed uitgevoerd kan worden. Daarbij willen we geen onderscheid maken in de dienstverlening naar instellingen die wel en niet aangewezen zijn.

De wetgeving gaat inderdaad ook toeleveranciers raken van SURF-leden die onder de NIS2-richtlijn (komen te) vallen. In artikel 21 staat als een van de 10 basismaatregelen namelijk dat de toeleveringsketen (rechtstreekse leveranciers en dienstverleners) moet worden beveiligd. Hierbij gaat het om een passend beveiligingsniveau op basis van een risicoanalyse.

Het SURFaudit Toetsingskader en de ISO 27000-normen, die veel van de instellingen al hanteren, bieden hiervoor aanknopingspunten. Daarnaast moet de fabrikant of aanbieder van ICT-producten of ICT-diensten ook voorzien in de noodzakelijke procedures om kwetsbaarheidsinformatie van derden te ontvangen.  

SURF zelf valt als aanbieder van diverse diensten onder de NIS2 richtlijn. SURF zal dan ook gaan voldoen aan de vereisten uit NIS2.

SURF-leden werken al aan het versterken van hun weerbaarheid. Het is aan te bevelen dat CISO’s en besturen zichzelf geïnformeerd houden over de ontwikkelingen. Samen met de brancheverenigingen VH en UNL wordt nu met OCW gekeken wat de gevolgen zijn van het al dan niet aanwijzen van het Hoger Onderwijs voor NIS2.

De meest in het oog springende verschillen zijn:

Toepassingsgebied
De NIS2-richtlijn hanteert een groter toepassingsgebied waardoor er meer organisaties (entiteiten) en sectoren onder vallen, waaronder centrale overheidsorganen. Een EU-lidstaat kan bovendien besluiten om het toepassingsgebied verder uit te breiden naar regionale en lokale overheidsorganen en onderwijsinstellingen, met name wanneer zij kritieke onderzoeksactiviteiten verrichten.

Verplichtingen
De NIS2-richtlijn verplicht alle organisaties voor wie de richtlijn op van toepassing is om passende beveiligingsmaatregelen te treffen. Daarbij wordt rekening gehouden met de stand van de techniek en het risico. De richtlijn bevat ook een aantal minimale eisen waaraan organisaties moeten voldoen. Ook worden hierbij verplichtingen ten aanzien van de beveiliging van de gehele keten van toeleveranciers opgelegd.

De NIS 2-richtlijn bevat in tegenstelling tot NIS 1 verplichtingen voor besturen van organisaties (artikel 20 en uitgangspunten 133 en 137).

Categorisering
De NIS 2-richtlijn wijzigt de categorisering van sectoren en entiteiten waarop de richtlijn van toepassing is. Waar NIS 1 sprak over aanbieders van essentiële diensten en aanbieders van digitale diensten, heeft de NIS 2-richtlijn het over essentiële en belangrijke entiteiten. De classificatie als essentiële, dan wel belangrijke, entiteit heeft gevolgen voor verplichtingen op het gebied van rapportage, de wijze waarop toezicht wordt uitgeoefend, en het toepasselijke boeteregime bij overtreding van de verplichtingen in de richtlijn. Deze zijn voor essentiële en belangrijke entiteiten verschillend.

2022
NIS 2-richtlijn vastgesteld door de Europese Raad.

2023
Voorbereiding nationale implementatie in de Cyberbeveiligingswet.
Maart: beleidskader CSIRT-stelsel gereed
April: besluit over CSIRT-stelsel

2024
Mei/juni: internetconsulatie: een periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De consultatie voor de Cyberbeveiligingswet is afgerond.

Na de wet volgen algemene maatregelen van bestuur (AmvB). Indien de onderwijssector aangewezen wordt, dan zal dit via een Amvb plaatsvinden. In de betreffende Amvb wordt dan ook de ingangsdatum bepaald waarop onderwijs aan de vereisten moet voldoen.

De inwerkingtreding van de wet, inclusief bijbehorende Amvb's, wordt verwacht in Q3 2025. De wet geldt dan direct na vaststelling. Tot die tijd zijn er geen verplichtingen vanuit NIS2 voor Nederlandse organisaties. 

2027
EC evalueert de NIS 2 -richtlijn

Wanneer de NIS 2-richtlijn op een organisatie van toepassing is, krijgt de organisatie de kwalificatie van essentiële of belangrijke entiteit. Deze kwalificatie gebeurt deels op basis van criteria in de richtlijn en deels door de nationale wetgever.

De kwalificatie bepaalt het type toezicht dat de organisatie krijgt:
Essentiële entiteiten: het toezicht is proactief (ex ante). Toezichthouders controleren voortdurend of de juiste processen aanwezig zijn en correct worden nageleefd.
Belangrijke entiteiten: het toezicht is achteraf (ex post). De organisatie moet bij een incident kunnen aantonen dat de juiste processen zijn geïmplementeerd.

Daarnaast verschillen de maximale boetebedragen bij het niet naleven van de NIS 2-verplichtingen, afhankelijk van de kwalificatie.

De brancheverenigingen UNL en VH vertegenwoordigen de belangen van de universiteiten en hogescholen in hun gesprekken met OCW.

MBO Digitaal en de MBO Raad vertegenwoordigen de belangen van de mbo-instellingen en volgen de ontwikkelingen. De NIS2-richtlijn lijkt vooralsnog niet van toepassing op de mbo-sector.

OCW werkt samen met andere ministeries aan de implementatie van de NIS2-richtlijn in de nieuwe Cbw. Gesprekken van SURF met OCW hebben vooral als doel om informatie te verzamelen, de leden voor te lichten en om de consequenties voor de SURF-organisatie en SURFcert in kaart te brengen.

SURF onderhoudt contacten met de brancheverenigingen en met de SURF-leden via de gebruikelijke kanalen. SURF verzamelt en deelt zoveel mogelijk informatie over dit onderwerp. Het is aan de leden zelf om de vereisten van nieuwe wetgeving binnen de eigen instellingen te implementeren.

Het is nog onduidelijk of onze sector wordt aangewezen onder NIS2 -en meer specifiek- aan de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit moet voldoen.

Indien de sector niet wordt aangewezen gaan er in onze sector nieuwe bestuurlijke afspraken gelden als alternatief. Het maken van een mapping heeft dus pas zin als het besluit van wel/niet aanwijzen door OCW is gecommuniceerd, want dan is het helder of de mapping gemaakt moet worden tegen het Cyberbeveiligingsbesluit of tegen de sectorale bestuurlijke afspraken.
 
De tekst van het Cyberbeveiligingsbesluit is momenteel in consultatie en kan dus nog veranderen. Indien wordt gekozen voor bestuurlijke afspraken, dan dienen de betreffende afspraken ook nog definitief gemaakt te worden.