Richtlijn Netwerk- en informatiebeveiliging (NIS 2)

In het licht van alle digitale ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). Op het moment dat de Cbw wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).
De site van het NCSC geeft hier meer informatie over.

Lees de volledige tekst van de NIS 2-richtlijn 
Lees de factsheet van de Europese Commissie

Organisaties die via de Wbni onder de NIS 2-richtlijn (komen te) vallen, krijgen te maken met rechten, plichten en toezicht. De eisen hangen af van of de organisatie is gekwalificeerd als essentiële of belangrijke entiteit. Rechten zijn bijvoorbeeld het recht op bijstand bij incidenten in de vorm van advies en informatie door een Computer Security Incident Response Team (CSIRT), en bij het treffen van maatregelen om continuïteit van diensten te waarborgen of herstellen. Onder plichten vallen:

Zorgplicht: het treffen van passende maatregelen om incidenten te voorkomen en risico’s te beheersen en gevolgen van incident zoveel mogelijk te beperken.
Meldplicht: incidenten en risico’s met significante gevolgen binnen 24 uur melden aan de toezichthouder en het aangewezen CSIRT voor de sector. Wat significant betekent is nog niet vastgesteld. Parameters die bepalen wat de drempelwaarde is om een incident te moeten melden zijn bijvoorbeeld het aantal getroffen gebruikers, de duur van de verstoring en de  grootte van het getroffen geografisch gebied.
Register: Er komt een register waarin entiteiten die onder de NIS 2-richtlijn vallen zich moeten registreren.
Toezicht: Er komt toezicht op de naleving van de zorgplicht en meldplicht.

Wat passende maatregelen zijn zal naar verwachting niet in een landelijk normenkader worden opgelegd, maar aan de sectoren worden overgelaten. Daarbij zegt de overheid zoveel mogelijk te willen aansluiten bij al bestaande methodieken. Veel leden van SURF werken al met het SURFaudit informatiebeveiliging toetsingskader of met de ISO 27000-serie. In artikel 21 van de NIS 2-richtlijn staan echter ook enkele concrete maatregelen die organisaties minimaal moeten treffen. Een deel daarvan komt al voor in het SURFaudit informatiebeveiliging toetsingskader en de ISO normen.

Voor hbo en wo wordt de Onderwijsinspectie naar verwachting de toezichthouder.

a, OCW is voornemens om SURFcert aan te wijzen als sectoraal CSIRT voor het hoger onderwijs (hbo en wo). De UMCs vallen onder Z-CERT. Zelfstandige bestuursorganen onder de CSIRT van de Rijksoverheid (NCSC).
SURF is momenteel aan het uitwerken hoe de CSIRT taak goed uitgevoerd kan worden. Daarbij willen we geen onderscheid maken in de dienstverlening naar instellingen die wel en niet aangewezen zijn.

De wetgeving gaat inderdaad ook toeleveranciers raken van SURF-leden die onder de NIS 2-richtlijn (komen te) vallen. In artikel 21 staat als een van de 10 basismaatregelen namelijk dat de toeleveringsketen (rechtstreekse leveranciers en dienstverleners) moet worden beveiligd. Hierbij gaat het om een passend beveiligingsniveau op basis van een risicoanalyse. Het SURFaudit Toetsingskader en de ISO 27000-normen, die veel van de instellingen al hanteren, bieden hiervoor aanknopingspunten.
Daarnaast moet de fabrikant of aanbieder van ICT-producten of ICT-diensten ook voorzien in de noodzakelijke procedures om kwetsbaarheidsinformatie van derden te ontvangen.  SURF zelf valt als aanbieder van diverse diensten onder de NIS2 richtlijn. SURF zal dan ook gaan voldoen aan de vereisten uit NIS2.

SURF-leden werken al aan het versterken van hun weerbaarheid. Het is aan te bevelen dat CISO’s en besturen zichzelf geïnformeerd houden over de ontwikkelingen. Samen met de brancheverenigingen VH en UNL wordt nu met OCW gekeken wat de gevolgen zijn van het al dan niet aanwijzen van het Hoger Onderwijs voor NIS2.

De meest in het oog springende verschillen zijn:
De NIS 2-richtlijn hanteert een groter toepassingsgebied waardoor er meer organisaties (entiteiten) en sectoren onder vallen, waaronder centrale overheidsorganen. Een EU-lidstaat kan bovendien besluiten om het toepassingsgebied verder uit te breiden naar regionale en lokale overheidsorganen en onderwijsinstellingen, met name wanneer zij kritieke onderzoeksactiviteiten verrichten.
De NIS 2-richtlijn verplicht alle organisaties voor wie de richtlijn op van toepassing is om passende beveiligingsmaatregelen te treffen. Daarbij wordt rekening gehouden met de stand van de techniek en het risico. De richtlijn bevat ook een aantal minimale eisen waaraan organisaties moeten voldoen. Ook worden hierbij verplichtingen ten aanzien van de beveiliging van de gehele keten van toeleveranciers opgelegd.
De NIS 2-richtlijn bevat in tegenstelling tot NIS 1 verplichtingen voor besturen van organisaties (artikel 20 en uitgangspunten 133 en 137).
De NIS 2-richtlijn wijzigt de categorisering van sectoren en entiteiten waarop de richtlijn van toepassing is. Waar NIS 1 sprak over aanbieders van essentiële diensten en aanbieders van digitale diensten, heeft de NIS 2-richtlijn het over essentiële en belangrijke entiteiten. De classificatie als essentiële, dan wel belangrijke, entiteit heeft gevolgen voor verplichtingen op het gebied van rapportage, de wijze waarop toezicht wordt uitgeoefend, en het toepasselijke boeteregime bij overtreding van de verplichtingen in de richtlijn. Deze zijn voor essentiële en belangrijke entiteiten verschillend.

2022
NIS 2-richtlijn vastgesteld door de Europese Raad.
2023
Voorbereiding nationale implementatie in de Cyberbeveiligingswet.
Maart: beleidskader CSIRT-stelsel gereed
April: besluit over CSIRT-stelsel
2024
Mei/juni: internetconsulatie: een periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De consultatie voor de Cyberbeveiligingswet is afgerond.

Na de wet volgen algemene maatregelen van bestuur (AmvB). Indien de onderwijssector aangewezen wordt, dan zal dit via een Amvb plaatsvinden. In de betreffende Amvb wordt dan ook de ingangsdatum bepaald waarop onderwijs aan de vereisten moet voldoen.

De inwerkingtreding van de wet, inclusief bijbehorende Amvb's, wordt verwacht in Q3 2025. De wet geldt dan direct na vaststelling. Tot die tijd zijn er geen verplichtingen vanuit NIS2 voor Nederlandse organisaties. 
2027
EC evalueert de NIS 2 -richtlijn

Als de NIS 2-richtlijn op een organisatie van toepassing is, wordt deze organisatie vervolgens gekwalificeerd als een essentiële dan wel belangrijke entiteit. Deze kwalificatie vindt deels plaats op basis van duidelijke criteria in de richtlijn zelf. Deels is het echter ook aan de nationale wetgever om de kwalificatie te doen.
De kwalificatie als essentiële of belangrijke entiteit heeft gevolgen voor de mate van toezicht op het nakomen van verplichtingen uit de NIS 2-richtlijn. Als de organisatie een essentiële entiteit is, is het toezicht proactief.Toezichthouders kunnen steeds controleren of de juiste processen aanwezig zijn en correct worden nageleefd (toezicht ex ante). Voor belangrijke entiteiten vindt het toezicht achteraf plaats en moet de organisatie in het geval van een cyberincident kunnen aantonen de juiste processen te hebben geïmplementeerd (toezicht ex post). Ook verschillen de maximale boetebedragen bij het niet nakomen van de verplichtingen uit de NIS 2-richtlijn al naar gelang de organisatie een essentiële dan wel belangrijke entiteit is.
Ten aanzien van deze kwalificatie geldt:


Op dit moment verwachten we voor de SURF-leden het volgende ten aanzien van deze kwalificatie:
Onderwijssector: voor zover NIS 2-richtlijn van toepassing wordt verklaard worden deze organisaties aangemerkt als een belangrijke entiteit.
Onderzoekssector: voor zover NIS 2-richtlijn van toepassing wordt verklaard worden deze organisaties in hun geheel aangemerkt als een belangrijke entiteit.
Zorgsector: essentiële of belangrijke entiteit, afhankelijk van de omvang.
Centrale overheidsinstanties: essentiële entiteit.
Regionale of lokale overheidsinstanties: belangrijke entiteit.
- Hoger onderwijs: is nog geen besluit over genomen.
- Zorgsector: essentiële of belangrijke entiteit, afhankelijk van de omvang.
- Centrale overheidsinstanties: essensiële entiteit.
- Regionale of lokale overheidsinstanties: belangrijke entiteit.

Begrip vitale aanbieder in Wbni
In de Wbni is het begrip vitale aanbieder geïntroduceerd bovenop de begrippen essentiële dienstverlener en digitale dienstverlener zoals die in NIS 1 worden gebruikt. Dit begrip zal naar verwachting wijzigen om een onderscheid te kunnen maken tussen de verschillende kwalificaties die in de NIS 2-richtlijn zijn opgenomen. We weten dat op dit moment interdepartementaal wordt gewerkt aan een herziening van het beleidskader ‘vitaal’.  Dit beleidskader kent een nauwe verwevenheid met de NIS 2-richtlijn en de Richtlijn Weerbaarheid Kritieke Entiteiten (CER-richtlijn). De overheid verkent momenteel wat precies tot de vitale infrastructuur of -processen moet worden gerekend. 

De brancheverenigingen UNL en VH vertegenwoordigen de belangen van de universiteiten en hogescholen in hun gesprekken met OCW.
MBO Digitaal en de MBO Raad vertegenwoordigen de belangen van de mbo-instellingen en volgen de ontwikkelingen. De NIS2-richtlijn lijkt vooralsnog niet van toepassing op de mbo-sector.
OCW werkt samen met andere ministeries aan de implementatie van de NIS2-richtlijn in de nieuwe Cbw. Gesprekken van SURF met OCW hebben vooral als doel om informatie te verzamelen, de leden voor te lichten en om de consequenties voor de SURF-organisatie en SURFcert in kaart te brengen.
SURF onderhoudt contacten met de brancheverenigingen en met de SURF-leden via de gebruikelijke kanalen. SURF verzamelt en deelt zoveel mogelijk informatie over dit onderwerp. Het is aan de leden zelf om de vereisten van nieuwe wetgeving binnen de eigen instellingen te implementeren.

Het is nog onduidelijk of onze sector wordt aangewezen onder NIS 2 -en meer specifiek- aan de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit moet voldoen. Indien de sector niet wordt aangewezen gaan er in onze sector nieuwe bestuurlijke afspraken gelden als alternatief. Het maken van een mapping heeft dus pas zin als het besluit van wel/niet aanwijzen door OCW is gecommuniceerd, want dan is het helder of de mapping gemaakt moet worden tegen het Cyberbeveiligingsbesluit of tegen de sectorale bestuurlijke afspraken.
 
De tekst van het Cyberbeveiligingsbesluit is momenteel in consultatie en kan dus nog veranderen. Indien wordt gekozen voor bestuurlijke afspraken, dan dienen de betreffende afspraken ook nog definitief gemaakt te worden.