Cyberbeveiligingswet (NIS2-richtlijn)
De NIS2 (Network and Information Security directive) is een nieuwe Europese richtlijn gericht op het vergroten van digitale weerbaarheid en het beperken van de gevolgen van cyberincidenten in de Europese Unie (EU). In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).
RDI toezichthouder voor de Cyberbeveiligingswet
De Rijksinspectie Digitale Infrastructuur (RDI) is op dit moment toezichthouder op de naleving van de Wbni voor de energiesector, de digitale infrastructuur en voor digitale dienstverleners. De NIS2-richtlijn richt zich op meer sectoren dan de huidige NIS-richtlijn.
Namens de minister van Economische zaken wordt de RDI toezichthouder op de volgende sectoren:
- Energie
- Digitale infrastructuur
- Ruimtevaart
- Vervaardiging/Manufacturing
- Digitale aanbieders
- Overheidsdiensten
- Post- en koeriersdiensten
- Onderzoek
- Beheer van ICT-diensten
Namens de minister van Binnenlandse Zaken en Koninkrijksrelaties wordt de RDI toezichthouder voor de sector:
- Overheidsdiensten
Organisaties die actief zijn in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.
Aanpassing capaciteit en werkwijze
Onder de opvolger van de Wbni vallen veel meer organisaties onder het toezicht van de RDI dan bij de Wbni. Dit betekent dat we onze capaciteit en werkwijze op deze nieuwe wet moeten aanpassen. Innovatie en samenwerking spelen daarbij een belangrijke rol.
Op weg naar nationale wetgeving
De NIS2 is door het ministerie van Justitie en Veiligheid (JenV) vertaald naar de Cyberbeveiligingswet. De internetconsultatie van het wetsvoorstel Cyberbeveiligingswet is inmiddels gesloten. De consultatieperiode liep van 21 mei 2024 tot 2 juli 2024.
Lees meer over de implementatie van de nieuwe wetgeving op de website van de NCTV.
Wat verandert er met de NIS2?
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren. Daarbij wordt onderscheid gemaakt in organisatie die gezien worden als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie.
Essentiële entiteiten vallen onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, die alleen achteraf plaatsvindt. De NIS2-richtlijn stelt ook strengere beveiligingsnormen (zorgplicht) en meldingsvereisten (meldplicht) voor incidenten.
Lees meer over de verplichtingen uit de NIS2 op de website van de NCTV
Voorbereiding met Zelfevaluatie en Quickscan
De RDI heeft een NIS2-Zelfevaluatie ontwikkeld waarmee organisaties kunnen inschatten of ze onder de NIS2-richtlijn vallen en of zij gezien worden als belangrijk of als essentieel.
Ook biedt de Rijksoverheid een NIS2-Quickscan: een hulpmiddel voor organisaties die willen weten hoe goed zij voorbereid zijn op de komst van de NIS2. De NIS2-Quickscan is met name bedoeld voor ICT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. Het beantwoorden van 40 ja/nee-vragen maakt hen bewust van de status van de digitale weerbaarheid van hun organisatie.
De Quickscan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.