Advocaat over de NIS2-richtlijn

1. Wat is de NIS2-richtlijn?

De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren te omvatten. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2-richtlijn wordt momenteel vertaald naar Nederlandse wetgeving.

Kenmerkend is dat deze richtlijn een bredere “scope” heeft dan NIS1. Er zullen dus bedrijven zijn die niet onder de NIS1 vallen, maar wel onder de NIS2.
De verwachting is dat de implementatiewet in mei 2024 wordt gepubliceerd.
De NIS2 zelf is vrij algemeen geformuleerd, dus een hoop onderdelen zijn momenteel nog enigszins onduidelijk.

Advocaat Lisa legt hieronder een en ander uit over de NIS2-richtlijn.

2. Wat houdt de NIS2-richtlijn in?

– De richtlijn omvat een aantal onderdelen en daaruit voortvloeiende verplichtingen/aanbevelingen omtrent:
• Mapping IT infrastructuur: Er moet in kaart worden gebracht welke IT er wordt gebruikt.
• Informatiebeveiligingsbeleid: Er dient een duidelijk en effectief beleid te worden gevoerd om gevoelige informatie te beschermen.
• Continuïteitsplan: Er dient een duidelijk plan te zijn dat omschrijft wat er dient te gebeuren indien er toch sprake is van een cyber security inbreuk.
• Meldplicht: Indien er sprake is van een inbreuk moet dit worden gemeld bij de autoriteiten.
• Leveranciersmanagement: Cyber security risico’s bij leveranciers moeten in de gaten worden gehouden door bedrijven die onder de richtlijn vallen. Het is bijvoorbeeld verplicht om kennis te hebben omtrent de digitale veiligheid van aangeschafte software.

3. Wanneer geldt er een meldplicht?

– Indien er sprake is van een (mogelijk) ernstige operationele verstoring.
– Indien er sprake is van (mogelijk) ernstige financiële schade.
– Indien er sprake is van (mogelijk) (im)materiele schade.
– Binnen 24 dient de eerste melding te worden gedaan bij de aangewezen autoriteiten. Vervolgens moet er na 72 uur een update worden gegeven. Uiteindelijk moet er na maximaal een maand een eindverslag worden opgesteld over de inbreuk.

4. Wat houdt het veelbesproken leveranciersmanagement in?

Cyber security risico’s bij leveranciers moeten in de gaten worden gehouden door bedrijven die onder de richtlijn vallen. Dit geldt ook indien de leveranciers zelf niet onder de richtlijn vallen.
• Het gaat daarbij om de veiligheid van de producten die de leveranciers verschaffen;
• De continuïteit van de producten indien er iets mis blijkt te zijn;
• En bijvoorbeeld hoe uitbesteding aan andere subcontractors is geregeld.
Bedrijven die in de scope van de richtlijn vallen dienen dergelijke cyber security procedures en garanties in hun contracten met leveranciers te verwerken.

5. Wat kan er momenteel gedaan worden, meent advocaat over de NIS2-richtlijn?

Ten eerste kan er budget worden vrijgemaakt voor de uitvoering van de (toekomstige) regelgeving. Het is daarbij belangrijk om reeds bestaande contracten met leveranciers te bestuderen en te kijken of deze in lijn zijn met de NIS2-richtlijn. Mocht dit niet het geval zijn dan kunnen er wellicht additionele afspraken worden gemaakt met de leveranciers.
Indien er templates worden gebruikt voor bepaalde contracten moeten ook deze grondig worden bestudeerd om te kijken of deze in lijn zijn met de NIS2-richtlijn. Zo niet, dan moeten deze worden aangepast.
Tot slot kan worden gekeken of de huidige procedures omtrent cyber security kunnen worden geactualiseerd.