Nieuwe wet geldt voor meer sectoren dan de Wbni
NIS2, strenger, breder en veeleisender voor bestuurder
Wat is er veranderd?
door Jouko Barensen en Hugo van Aardenne, beeld Shutterstock
Heeft u uw leidinggevende al gewaarschuwd? De NIS2 kent ruimere toepassing én roept persoonlijke verantwoordelijkheid in het leven.
Op 16 januari 2023 is de tweede Network and Information Security-richtlijn (hierna: NIS2) in werking getreden, en uiterlijk op 17 oktober 2024 moet de tekst van deze Richtlijn in ons land in nationale wetgeving zijn omgezet. Het gevolg is dat er nu snel meer verplichtingen voor meer bedrijven gaan gelden om hun cyberweerbaarheid naar een hoger niveau te brengen.
De eerste NIS-Richtlijn geldt al sinds 2016, en deze is omgezet in Nederland in de Wet Beveiliging netwerk- en informatiesystemen (hierna: Wbni).
Voor diverse bedrijven gelden op dit moment dus ook al diverse verplichtingen. Daarbij moet bijvoorbeeld worden gedacht aan het beheersen van risico’s voor de beveiliging.
Maar voor welke entiteiten gelden thans (via de Wbni) de verplichtingen uit de huidige NIS-richtlijn? En wat verandert daarin?
De huidige Wbni
Onder de werking van de huidige Wbni vallen “digitale dienstverleners” en “vitale aanbieders”. Digitale dienstverleners zijn online marktplaatsen, online zoekmachines en cloudcomputerdiensten. Vitale aanbieders zijn “aanbieders van een essentiële dienst” en “aanbieders van een andere vitale dienst”. Dat zijn onder meer de netbeheerders; voor de sector ‘Energie/Gas’ is het de NAM. Daarnaast betreft het spoorwegondernemingen, de Divisie Havenmeester van het Rotterdamse Havenbedrijf, en de wegenautoriteiten, drinkwaterbedrijven, diverse banken, en enkele bedrijven die die internet- en dataverkeer faciliteren en DNS-diensten verlenen.
Bestuur moet zelf toezien op naleven regels en wordt verantwoordelijk voor consequenties bij non-compliance
De toekomstige Wbni
Onder de werking van de NIS2 vallen zogenaamde essentiële entiteiten en belangrijke entiteiten - de begrippen veranderen dus. Voor de essentiële entiteiten geldt het strengste regime.
Alle entiteiten die nu onder de Wbni als vitale aanbieders gelden, gelden straks als essentiële entiteiten.
Maar er komen sectoren bij: ‘gezondheidszorg’, ‘afvalwater’, ‘ruimtevaart’ en ‘overheidsdiensten’.
De belangrijke entiteiten in de NIS2 die nieuw zijn, betreffen entiteiten in de volgende sectoren:
Post- en koeriersdiensten, Afvalstoffenbeheer, Vervaardiging, productie en distributie van chemische stoffen; Productie, verwerking en distributie van levensmiddelen; de vervaardiging van onder andere de volgende producten: medische hulpmiddelen, informatica/elektronische en optische producten, machines, apparaten en werktuigen en transportmiddelen.
De Wbni krijgt dus een veel breder toepassingsbereik.
Bovendien wordt de wetgeving strenger: bedrijven en hun bestuurders kunnen er (persoonlijk) op worden afgerekend indien bedrijven niet voldoende cyberweerbaar zijn. En ook de termijn waarbinnen incidenten moeten worden gemeld wordt korter: 24 uur.
Naleven van de regels
Bestuursorganen/ bestuursleden van zowel essentiële als belangrijke entiteiten zijn straks verplicht om de genomen maatregelen op het gebied van risicobeheer zelf goed te keuren. En ze moeten er zelf op toezien dat de regels worden nageleefd, want ze zijn verantwoordelijk voor de eventuele niet-naleving van de verplichtingen.
Om zelf min of meer goed te kunnen inschatten welke gevolgen er mogelijk zijn van een cyberincident voor de entiteit moeten bestuursleden straks aantoonbaar over voldoende kennis en vaardigheden beschikken. En zij moeten dus, meer dan globaal, weten welke cyberbeveiligingsmaatregelen er in het bedrijf worden genomen. Zo kunnen zij zich er ook van vergewissen dat de benodigde maatregelen zijn vervuld.
Die maatregelen moeten zijn afgestemd op de bedrijfsspecifieke risico’s, maar er zijn wel minimumvereisten. Het bestuur van essentiële entiteiten moet er dus voor zorgen dat in ieder geval die vereisten worden vervuld. De NIS2 bepaalt dat personen die vertegenwoordigingsbevoegd zijn aansprakelijk kunnen worden gesteld voor het niet-naleven van de verplichtingen. Zij kunnen zelfs worden geschorst. Die bepaling zal ook in de Wbni worden opgenomen.
Minimumvereisten
De minimumvereisten zijn:
- Er dient een risicoanalyse te worden gemaakt en er dient beleid inzake de beveiliging te worden geïmplementeerd;
- Er dient adequaat te worden gehandeld bij de preventie van, opsporing van en respons op incidenten;
- Er moet zijn nagedacht over bedrijfscontinuïteit en over crisisbeheer (business continuity);
- Er moet een inschatting zijn gemaakt betreffende de beveiliging van de toeleveringsketen, waarbij rekening moet worden gehouden met de specifieke kwetsbaarheden van elke partij;
- Er moet sprake zijn van beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk en informatiesystemen;
- Er moet beleid zijn en er moeten procedures zijn (testen en audits) om de effectiviteit van maatregelen voor het beheer van risico’s te beoordelen; en
- Er moet gebruik worden gemaakt van cryptografie en encryptie.
Consequenties in het geval van non-compliance
Wanneer de maatregelen voor het beheer van cyberveiligheidsrisico’s onvoldoende zijn, of wanneer de rapportageverplichting wordt geschonden, kunnen boetes worden opgelegd. De maximumboetes bedragen 10 miljoen euro of 2% van de wereldwijde jaaromzet – afhankelijk van welk bedrag hoger is. Ook kunnen de lidstaten dwangsommen opleggen – ook aan overheden trouwens.
Op basis van de huidige Wbni kunnen ook al dwangsommen, bindende aanwijzingen en boetes worden opgelegd aan bedrijven die de wet overtreden. Het boetemaximum is vooralsnog ‘slechts’ 5 miljoen euro. Tot op heden zijn geen boetes opgelegd, maar dat zal zeker veranderen. De druk vanuit Europa op de lidstaten groeit wat dat betreft.
Jouko Barensen is sinds 2017 advocaat (economisch) strafrecht bij Ploum, Rotterdam Law Firm.
Hugo van Aardenne is in 2010 begonnen als advocaat, en sinds 2021 bij Ploum als advocaat op het gebied van corporate crime, cybersecurity en investigations.