Eisen NIS2-richtlijn zorgen voor flinke uitdagingen | Berenschot blog

Het doel van de NIS2-richtlijn is om het niveau van informatiebeveiliging binnen de EU te verhogen en wel door het herzien van de juridische beleidskaders. Concreet heeft deze herziening twee grote gevolgen. Enerzijds wordt het beleidskader vergroot, waardoor meer organisaties zullen moeten voldoen aan de eisen uit de richtlijn. Anderzijds zijn organisaties die binnen het beleidskader van de richtlijn vallen, ook verplicht om aan strengere eisen te voldoen op het gebied van informatiebeveiliging. Niet voldoen aan de eisen van de NIS2 kan leiden tot forse boetes, oplopend tot wel €10 miljoen of 2% van de totale wereldwijde omzet.

In deze blog beschrijven we de aanleiding om het landschap van de NIS alweer te herzien in de NIS2. Ook zetten we uiteen hoe de Europese wetgever dit wenst op te lossen en waarom dit leidt tot nieuwe eisen voor Nederlandse CERT’s (ook wel CSIRT’s genoemd): de overkoepelende organisaties die bevoegd en verantwoordelijk zijn voor het beschermen van sectoren tegen digitale veiligheidsincidenten. Aangezien de NIS2 deze organisaties voor een aantal bestuurskundige vraagstukken stelt, eindigt onze blog met de implicaties van het nieuwe beleid voor de CERT’s.

De Europese Commissie (EC) heeft in 2020 de werking van de eerste NIS-richtlijn geëvalueerd. Daaruit blijkt dat de NIS-richtlijn weliswaar een bijdrage heeft geleverd aan het verhogen van de digitale weerbaarheid van de lidstaten, maar dat er ook verbeteringen in het beleidsproces noodzakelijk zijn. Daarnaast is de samenleving in een rap tempo aan het digitaliseren, wat heeft geleid tot significante veranderingen in het dreigingslandschap. Dus moet de vorige richtlijn tevens inhoudelijk aangepast worden.

Daarnaast komen uit de beleidsevaluaties van de eerste NIS-richtlijn drie punten van zorg naar voren. Allereerst blijkt de algemene weerbaarheid van organisaties lager dan het beleidsdoel voor ogen had. Ook zijn over lidstaten en sectoren inconsistenties in de implementatie van de richtlijn waargenomen. Zo zijn in het ene land alle ziekenhuizen opgenomen binnen het beleidskader, terwijl voor een ander land een groot ziekenhuis erbuiten valt. Tot slot werken sectoren en lidstaten te weinig samen om adequaat te kunnen reageren op grootschalige cyberaanvallen of crisissituaties.  

Met de invoering van NIS2 zal worden geprobeerd om de defecten van het vorige beleid te corrigeren. Zo vallen in de nieuwe richtlijn meer organisaties binnen het beleidskader. Niet alleen de relatief kleinere groep ‘essentiële organisaties’ (zoals bij de NIS), maar ook de categorie ‘belangrijke organisaties’. De NIS2 richt zich niet enkel op de Rijksoverheid, maar biedt ook de mogelijkheid aan lidstaten om lokale overheden onder het toepassingsgebied van de NIS2 te laten vallen, zoals provincies en gemeenten. Naar verwachting zal de wetgever in Nederland ook gebruik maken van deze discretionaire bevoegdheid. Op deze manier zal de wetgeving breder en over meer sectoren geïmplementeerd worden.

Ook de inconsistenties in de implementatie van de voormalige richtlijn moeten worden gladgestreken. Dit gebeurt onder meer door afspraken rondom nationaal toezicht en de bevoegdheden van autoriteiten scherper te formuleren. Daarnaast zal het toepassingsgebied verder uitgewerkt worden. Bovendien moet de samenwerking en kennisdeling tussen sectoren en lidstaten vergroot worden door de bevoegde autoriteiten hier effectiever in te faciliteren. Op dit moment werken bedrijven en overheden hierin vaak samen via een landelijke of sectorale CERT. Vanwege de uitbreiding van het beleidskader gaan er meer organisaties onder een vallen om het beleidsdoel te realiseren. Deze koepelorganisaties wachten dus nog de nodige bestuurskundige vraagstukken.

Onder de NIS2 zullen de lidstaten verder zowel operationele als regietaken toebedeeld krijgen. Zo worden zij verplicht om minstens één CERT aan te wijzen en moeten zij deze CERT’s financieel ondersteunen, zodat die over voldoende middelen beschikken om goed te kunnen functioneren. Ten slotte dienen lidstaten de Europese Commissie te informeren over de wijze waarop deze verplichting is ingevuld.

Op operationeel niveau moeten de CERT’s een minimale kwaliteitsstandaard halen op taken zoals monitoring, dreigingsanalyse en incidentmanagement. Hiertoe moeten CERT’s de mogelijkheid hebben om deel te nemen aan internationale samenwerkingsnetwerken, zodat informatie-uitwisseling effectief kan plaatsvinden. Verder moeten ze deelnemen aan intercollegiale toetsing, zodat er ook onderlinge kwaliteitscontrole door experts plaatsvindt. Er moet namelijk een hoge mate van beschikbaarheid en continuïteit van IT-systemen gewaarborgd worden. Op deze manier kan de CERT op consistente wijze bescherming bieden.

De NIS heeft ervoor gezorgd dat binnen Nederland al enkele CERT’s zijn ingericht. Denk aan het NCSC dat zich richt op de rijksoverheid en op vitale organisaties binnen Nederland. Daarnaast zijn er nog diverse sectorale CERTs, bijvoorbeeld binnen de zorg (Z-CERT), de gemeenten (IBD), en de waterschappen (CERT-WM). Met de komst van de NIS2 valt te verwachten dat het CERT-landschap en de verdeling van taken en verantwoordelijkheden tussen de diverse CERT’s zullen veranderen. De NIS2 heeft daardoor ook gevolgen voor de processen, techniek en bemensing van bestaande CERT’s en hun klanten.[1]

Organisaties die binnen het bereik van de NIS2 vallen, zullen in ieder geval aan hogere eisen moeten gaan voldoen op het gebied van cybersecurity. De strengere eisen rond incidentmanagement, risicomanagement en monitoring brengen de nodige uitdagingen met zich mee. Het is bovendien de vraag in hoeverre organisaties zelf over de kennis, expertise en capaciteit beschikken om hieraan te voldoen en welke rol CERT’s hierin kunnen pakken.

Hoewel het een mooi doel is om de cyberweerbaarheid te verstevigen, zullen organisaties nog stappen moeten zetten om dit te realiseren. De huidige personeelsschaarste maakt dit bepaald niet gemakkelijk. Tegelijkertijd biedt de NIS2 mogelijkheden op het gebied van standaardisering en het verbeteren van de coördinatie van het CERT-landschap. Als de komende maanden de NIS2 omgezet gaat worden in een vernieuwde Wbni, ligt de grootste uitdaging daarom wellicht in het herverdelen van het landschap. Hierbij dient men voldoende rekening te houden met aspecten als krapte op de arbeidsmarkt en de diversiteit van sectoren.

Het is dan ook niet ondenkbaar dat het definitieve voorstel voor herziening van de Wbni nog even op zich laat wachten. Desalniettemin kan het voor organisaties verstandig zijn om toch alvast voorbereidingen te treffen voor de implementatie van de strengere eisen. Uiteraard zijn wij beschikbaar, mocht u hier verdere vragen over hebben of hierover met ons van gedachten wilt wisselen.

[1] ENISA heeft een kaart gemaakt met een overzicht van de verschillende (sector-)CERT’s.