De overheid werkt momenteel aan nationale wetgeving rondom cyber security. Het ministerie van Justitie en Veiligheid (JenV) vertaalde de opvolger van de wbni (Wet beveiliging netwerk- en informatiesystemen) namelijk de Europese richtlijn NIS2-richtlijn in de Cyberbeveiligingswet. De consultatieperiode daarvan liep tot 2 juli 2024.
NIS2-richtlijn
NIS2 richt zich op meer sectoren dan de huidige NIS-richtlijn. Het moet de digitale weerbaarheid vergroten en de gevolgen van cyberincidenten in de Europese Unie (EU) beperken.
De Rijksinspectie Digitale Infrastructuur (RDI) houdt op dit moment toezicht op de naleving van de Wbni voor de energiesector, de digitale infrastructuur en voor digitale dienstverleners.
Met de nieuwe Cyberbeveiligingswet voegt de minister van Economische zaken daar ook nog de sectoren ruimtevaart, maakindustrie, digitale aanbieders, overheidsdiensten, post- en koeriersdiensten, onderzoek en beheer van ICT-diensten. Namens de minister van Binnenlandse Zaken en Koninkrijksrelaties gaat de RDI als toezichthouder voor overheidsdiensten optreden. Organisaties actief in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.
Wat verandert er
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren. Daarbij vallen ze in twee categorieën: ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie.
Essentiële entiteiten vallen onder een intensiever regime van toezicht met zowel voor- als achteraf toezicht op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, die alleen achteraf plaatsvindt. De NIS2-richtlijn stelt ook strengere beveiligingsnormen (zorgplicht) en meldingsvereisten (meldplicht) voor incidenten.
Voorbereiding
De RDI ontwikkelde een NIS2-Zelfevaluatie waarmee organisaties kunnen inschatten of ze onder de NIS2-richtlijn vallen en of zij belangrijk of essentieel vallen.
Ook biedt de Rijksoverheid een NIS2-Quickscan aan. Met dit hulpmiddel kunnen organisaties zich goed voorbereiden op de komst van de NIS2. De NIS2-Quickscan richt zich vooral op ICT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. Het beantwoorden van 40 ja/nee-vragen maakt hen bewust van de status van de digitale weerbaarheid van hun organisatie.
De Quickscan biedt ook handelingsperspectief: per thema staan technische of organisatorische maatregelen die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
