NIS2-richtlijn | Cybersecurity: voer voor de bedrijfsjurist

Door de NGB Werkgroep Digitalisering, op voorzet van mr. Jasper Langezaal, mr. Melissa Theunissen en mr. Martin Woodward

Een nieuwe Europese richtlijn (NIS2) scherpt de regelgeving op het gebied van cybersecurity aan. De reikwijdte wordt groter en de boetes worden hoger. In 2021 was de schade door ransomware naar schatting US$ 20 miljard. Cybersecurity verdient een plek op de agenda van de bedrijfsjurist. In dit artikel krijg je een overzicht van de veranderingen, plus een aantal waardevolle tips voor de praktijk.

De afgelopen decennia is de maatschappij, inclusief kritische sectoren als vervoer, energie, gezondheidszorg en financiën, steeds afhankelijker geworden van digitale technologieën om kernactiviteiten uit te voeren. Hoewel de toenemende digitale connectiviteit enorme kansen biedt, stelt zij economieën en samenlevingen ook bloot aan cyberdreigingen. Het aantal, de complexiteit en de omvang van cyberincidenten nemen toe, evenals hun economische en sociale impact. De wereldwijde schadepost door ransomware alleen al bedroeg in 2021 naar schatting US$ 20 miljard[1].

NIS-richtlijn

De Europese Richtlijn (EU) 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, beter bekend als de ‘NIS-richtlijn’, was het eerste stuk EU-wetgeving op het gebied van cyberbeveiliging. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2018. Hoewel de NIS-richtlijn de cyberbeveiligingscapaciteiten van de EU-lidstaten sterk heeft vergroot, biedt de huidige richtlijn onvoldoende antwoord op de toenemende dreigingen die verband houden met de verdere digitalisering van de maatschappij, waaronder de sterke toename van cyberaanvallen.                                             

Nieuwe richtlijn: NIS2

In december 2020 heeft de Europese Commissie daarom een voorstel ingediend, dat een jaar later grotendeels door de Raad is overgenomen[2], om de NIS-richtlijn te vervangen. In de nieuwe NIS2-richtlijn moeten de beveiligingseisen aangescherpt, de beveiliging van toeleveringsketens aangepakt de rapportageverplichtingen gestroomlijnd en strengere toezichtmaatregelen en handhavingsvereisten ingevoerd worden, waaronder geharmoniseerde sancties in de hele EU. Het voorstel kent ook een uitgebreid toepassingsgebied, waarbij meer entiteiten en sectoren worden verplicht maatregelen te nemen. Dit alles zou het niveau van cyberbeveiliging in Europa op de langere termijn moeten verhogen.

In dit artikel schetsen wij de hoofdpunten van de NIS2-richtlijn , waarna we enkele praktische vragen en tips voor bedrijven en bedrijfsjuristen behandelen.

Werkingssfeer uitgebreid

De huidige NIS-richtlijn heeft tot doel de cyberbeveiliging te versterken in sectoren die sterk afhankelijk zijn van informatietechnologie, met een focus op de bescherming van kritische infrastructuur (energie, vervoer, infrastructuur voor banken en de financiële markt, gezondheid, drinkwater, digitale infrastructuur) en bepaalde digitale dienstverleners in de EU-lidstaten.

De voorgestelde NIS2-richtlijn voorziet in een ruimere dekking van sectoren en diensten die van vitaal belang worden geacht voor de Europese interne markt. Naast de genoemde sectoren die al onder de huidige richtlijn vallen, worden nieuwe sectoren in het toepassingsgebied opgenomen, waaronder telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, bepaalde industrieën, overheidsdiensten, platforms voor sociale netwerken, ruimtevaart, afvalbeheer en afvalwaterbeheer[3]. Verder zullen entiteiten van het openbaar bestuur van centrale overheden onder NIS2-richtlijn vallen, en kunnen lidstaten besluiten om het toepassingsgebied uit te breiden tot soortgelijke entiteiten op regionaal en lokaal niveau.

‘Size-cap’

Voorts wordt in het voorstel, in plaats van de huidige identificatie van individuele aanbieders op nationaal niveau, een ‘size-cap’ ingevoerd die binnen de genoemde sectoren alle middelgrote en grote ondernemingen bestrijkt. Kleinere entiteiten zijn vrijgesteld, tenzij zij een hoog veiligheidsrisicoprofiel hebben. De Raad heeft bij de bespreking van het voorstel aanvullende criteria toegevoegd om te bepalen welke entiteiten onder NIS2-richtlijn moeten vallen.

Extraterritoriale werking uitgebreid

Ten slotte wordt de extraterritoriale werking van de richtlijn uitgebreid. Daardoor vallen aanbieders van digitale infrastructuur of digitale diensten die weliswaar geen Europese vestiging hebben, maar wel diensten die onder de NIS2-richlijn vallen aanbieden in de EU, ook onder het toepassingsgebied van de voorgestelde NIS2-richtlijn. Dit zal onder meer gevolgen hebben voor aanbieders van cloud computing-diensten, aanbieders van datacenterdiensten en andere online dienstverleners zoals marktplaatsen, zoekmachines en sociale netwerken.

Essentiële en belangrijke entiteiten

In de voorgestelde NIS2-richtlijn wordt niet langer een onderscheid gemaakt tussen aanbieders van essentiële diensten en aanbieders van digitale diensten, maar worden entiteiten ingedeeld in ‘Essentieel’ en ‘Belangrijk’. Voor zowel Essentiële als Belangrijke entiteiten zullen dezelfde eisen inzake cyberbeveiligingsbeheer en rapportage gelden, maar de toezichts- en sanctieregelingen zullen verschillen. Terwijl voor Essentiële entiteiten een volwaardig ex ante toezichtsregime zal gelden, geldt voor Belangrijke entiteiten een lichter ex post toezicht in het geval van bewijzen of aanwijzingen van niet-naleving.

Governance en rapportage

De nieuwe regels voeren voor het eerst expliciete governance-vereisten in, op grond waarvan het bestuur van entiteiten die vallen binnen het toepassingsbereik van de NIS2-richtlijn maatregelen voor het managen van cyberbeveiligingsrisico's moet goedkeuren en daarop toezicht moet houden. Ook moet het bestuur cyberbeveiligingstrainingen volgen.

Minimale beveiligingselementen

Wat het cyberbeveiligingsrisicobeheer zelf betreft, wordt in de voorgestelde herziening de open norm gehandhaafd dat, gelet op de stand van de techniek en het aanwezige risico, ‘passende’ en ‘evenredige’ maatregelen moeten worden genomen. Nieuw is dat een aantal minimale basisbeveiligingselementen wordt toegevoegd waarin in elk geval moet worden voorzien.

Belangrijk is dat de voorgestelde NIS2-richtlijn in afwijking van de huidige NIS-richtlijn expliciete eisen invoert voor het beheer van risico's van derden in toeleveringsketens en relaties met leveranciers. Daarmee wordt een van de belangrijkste uitdagingen op het gebied van cyberbeveiliging van dit moment aangepakt. Het voorstel bepaalt dat de Europese Commissie de technische en methodologische specificaties van de minimumeisen zal vaststellen, en voorziet dat entiteiten kunnen (en bepaalde Essentiële entiteiten: moeten) aantonen dat zij aan de eisen voldoen door een cyberbeveiligingscertificering te verkrijgen ingevolge de recente EU Cybersecurity Act.

Rapportage

Ook worden rapportageverplichtingen uitgebreid. Zo zullen alle Essentiële en Belangrijke entiteiten moeten rapporteren over incidenten die een aanzienlijke impact hebben op de levering van hun diensten. Naar aanleiding van de bezorgdheid van de lidstaten dat dit de onder de NIS2-richtlijn vallende entiteiten te zwaar zou belasten en tot ‘overrapportage’ zou leiden, is de verplichte melding van significante cyberdreigingen aan de bevoegde autoriteiten of de Computer Security Incident Response Teams (CSIRT) inmiddels uit het voorstel gehaald.

Hogere boetes

Het meest in het oog springende element van het pakket aan nieuwe maatregelen is misschien dat de EU-lidstaten aanzienlijk hogere administratieve boetes kunnen opleggen die kunnen oplopen tot ten minste 10 miljoen Euro of 2% van de totale wereldwijde omzet (op ondernemingsniveau), naargelang welk bedrag het hoogst is, met de intentie dat hierop ook strenger zal worden gehandhaafd. In overeenstemming met de strengere handhavingsregeling die op hen van toepassing is, kunnen voor Essentiële entiteiten die in gebreke blijven, ook vergunningen worden geschorst of kan het hoger management worden geschorst in de uitoefening van zijn leidinggevende functies (telkens totdat de nodige corrigerende maatregelen zijn genomen). Het is nog de vraag of dit onder Nederlands recht zal leiden tot mogelijke bestuurdersaansprakelijkheid.

Openbaarmaking van kwetsbaarheden

Belangrijk is ten slotte dat de voorgestelde NIS2-richtlijn gecoördineerde praktijken voor de openbaarmaking van kwetsbaarheden introduceert, waarbij een entiteit buitenstaanders (vaak ‘ethische hackers’) uitnodigt om kwetsbaarheden te melden op een manier die het mogelijk maakt een diagnose te stellen en de kwetsbaarheid te verhelpen voordat deze aan derden wordt bekendgemaakt (en mogelijk door derden wordt misbruikt). Daartoe zou het EU-cyberbeveiligingsagentschap ENISA een Europees kwetsbaarheidsregister moeten ontwikkelen en bijhouden om Belangrijke en Essentiële entiteiten en hun leveranciers van netwerk- en informatiesystemen in staat te stellen kwetsbaarheden in ICT-producten of ICT-diensten bekend te maken en te registreren.

Sectorspecifieke regelgeving

Wordt de voorgestelde NIS2-richtlijn goedgekeurd, dan zal deze van toepassing zijn naast sectorspecifieke wetgeving. De belangrijkste daarvan om hier te vermelden is de onlangs voorgestelde ‘DORA’-verordening inzake digitale operationele veerkracht voor de financiële sector.

Nationale wetgeving

Omdat het om een richtlijn gaat, moet deze door de EU-lidstaten in hun nationale wetgeving worden omgezet. De termijn hiervoor is twee jaar na de datum van inwerkingtreding van de richtlijn, die voorlopig niet voor medio 2023 wordt verwacht.

Tip 1: basismaatregelen
Kijkend naar de voorgestelde aanpassingen van de NIS-richtlijn doet een bedrijf er verstandig aan om in ieder geval onderstaande basismaatregelen te nemen om het risico van cyber incidenten zoveel mogelijk te beperken. Deze basismaatregelen zijn opgesteld door het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid dat tevens ook een handreiking heeft opgesteld waarin deze basismaatregelen nader uiteen worden gezet[4].

Tip 2: klanten
Hoewel deze maatregelen vooral op het bordje van de IT-afdeling van een onderneming lijken te liggen, is het belangrijk dat ook de bedrijfsjurist zich hierin verdiept. Zo zou hij of zij over de risico’s van cyberincidenten zich onder andere de volgende vragen kunnen stellen over contracten met klanten:

• Zijn klanten aangemerkt als Essentiële Aanbieder dan wel Belangrijke Aanbieder (op het moment dat de NIS2-richtlijn van kracht is) en zo ja, welke aanvullende verplichtingen ten aanzien van het voorkomen van cyberincidenten zijn van toepassing?
• Welke verplichtingen voor het voorkomen van cyberincidenten worden door klanten opgelegd (ook als het geen Essentiële Aanbieders of Belangrijke Aanbieders zijn)?
• Welke beveiligingsverplichtingen voor geleverde ‘as a service’ diensten worden er opgelegd met betrekking tot het voorkomen van cyberincidenten?

Tip 3: toeleveranciers
Niet alleen contracten met klanten zijn van belang om tegen het licht te houden. Ook toeleveranciers spelen ingevolge de NIS2-richtlijn in toenemende mate een rol in het voorkomen van cyberincidenten. Daarnaast zullen klanten steeds vaker eisen dat afgesproken cybermaatregelen worden doorgelegd aan toeleveranciers. Dit alles maakt het relevant om onder meer de contracten met toeleveranciers te bekijken. Een rol die lijkt te zijn weggelegd voor de bedrijfsjurist waarbij hij of zij zich de volgende vragen zou kunnen stellen:

• Worden toeleveranciers verplicht om organisatorische en technische maatregelen te nemen die de beschikbaarheid van producten en/of diensten waarborgen?
• Welke beveiligingsstandaarden worden aan toeleveranciers opgelegd?
• Worden toeleveranciers verplicht om eventuele kwetsbaarheden en beveiligingsincidenten in producten en/of diensten te herstellen?
• Worden toeleveranciers verplicht om voor langere periode te voorzien in (kosteloze) beveiligingsupdates en upgrades van geleverde software?
• Is er in overeenkomsten met toeleveranciers een audit right opgenomen ten aanzien van afspraken die over het voorkomen van cyberincidenten zijn gemaakt en zo ja, worden deze toeleveranciers bij aanvang van de overeenkomst als ook gedurende de looptijd van de overeenkomst hierop ge-audit?
• Is er in overeenkomsten met toeleveranciers een meld- en informatieplicht ten aanzien van cyberincidenten opgenomen?

Tip 4: concurrentievoordeel
Voorgaande vragen lijken vooral te zien op het voorkomen van risico’s die verband houden met cyberincidenten. De bedrijfsjurist zou echter met de NIS2-richtlijn in de hand ook het management kunnen wijzen op de mogelijke (voortrekkers)rol die de onderneming op dit vlak kan spelen en daarmee een concurrentievoordeel behalen. Bovenstaande vragen kunnen in de discussie hierover ook van nut zijn.

Tip 5: voorkomen van cyberincidenten 
Hoezeer een bedrijf zich ook van het voorgaande rekenschap geeft, zal ieder bedrijf op enig moment in directe of indirecte zin te maken krijgen met cyberincidenten. Dat kan zijn bij het bedrijf zelf, maar dit kan ook toeleveranciers en klanten overkomen. Het is dan ook belangrijk om goed voorbereid te zijn op dergelijke incidenten en waar mogelijk deze te voorkomen.

Bereid je als bedrijfsjurist met andere disciplines in je bedrijf voor en oefen regelmatig. Zorg dat er een Incident Response Team paraat staat en is voorbereid op dit soort incidenten. Betrek de IT-afdeling, Corporate Security, Communicatie en Insurance. Bij een groot incident is het verstandig om de lijnen met het bestuur open te houden. Als het een incident betreft bij een toeleverancier, betrek dan de betreffende inkoper en als het bij een klant is het sales contact om contact te blijven houden met de klanten. Oefen regelmatig met incidenten en let op of jullie op tijd de juiste informatie boven tafel kunnen krijgen.

Als leidraad kan het verstandig zijn om het antwoord op deze tien vragen[5] paraat te hebben liggen: 

1. Wat zijn de meest waarschijnlijke incidenten waarin ik mogelijk een rol vervul? 
2. Is die rol voor zowel mijzelf als de organisatie helder? 
3. Draag ik straks een functionaris gegevensbescherming ‘hesje’ en wil/kan/mag ik dat eigenlijk wel? 
4. Begrijp ik op hoofdlijnen ons IT-landschap? 
5. Wat zijn de digitale kroonjuwelen binnen mijn organisatie? 
6. Heb ik externe specialisten on call die daadwerkelijk voor ons klaarstaan? 
7. Begrijp ik onze cyberpolis (of de afweging om deze achterwege te laten)? 
8. Heb ik onze eventuele meldplichten alvast helder op een rijtje? 
9. Overzie ik de eventuele juridische impact voor onze buitenlandse activiteiten 
10. Over welke stukken wil ik altijd kunnen beschikken, zelfs bij ransomware? 

Tip 6: eerste hulp bij een incident
Is er dan daadwerkelijk iets aan de hand, reageer dan snel. Roep het Incident Response Team op dat de volgende vragen probeert te beantwoorden:

1. Welke systemen zijn geraakt? 
2. Vanuit welk IP-adres is dit gebeurd? 
3. Wat voor type aanval is dit? 

Als hiervoor geen mensen in dienst zijn, is het verstandig om snel aan te kloppen bij dienstverleners die hierin gespecialiseerd zijn. Ook als de expertise wel in huis is, kan het slim zijn om externen te betrekken bij het onderzoek naar een significant incident. Als bedrijf kun je je blindstaren op de eigen zwakheden die een ander bloot kan leggen. Ook hebben externen vaker dit soort incidenten meegemaakt en zij kunnen dan ook adviseren op basis van ervaring.  

Als eenmaal duidelijk is waar de aanval heeft plaatsgevonden, informeer dan de gebruikers van de systemen. Het is handig op voorhand na te denken hoe dat het beste kan worden gedaan, zodat er een protocol klaarligt. Wie gebruikt het systeem, waar wordt het systeem gebruikt, kunnen we het gebruik van het systeem staken? Laat je als bedrijfsjurist ook niet het bos insturen met IT-jargon: vraag door wat er aan de hand is zodat ook de juridische kant van het incident kan worden opgelost.

Zorg ook dat de contact informatie van betrokken partijen beschikbaar is. Ook is van belang of klanteninformatie is geraakt. Zorg dan dat je de klanten daarover kan informeren, zonder dat je tijd verliest met het zoeken in allerlei systemen van een correct contact. 

Tip 7: de juridische kant: contracten, meldplichten, verzekeringen, handhaving
Het is belangrijk om zo snel mogelijk in kaart te brengen welke contractuele verplichtingen met anderen wellicht worden geraakt. Zijn bijvoorbeeld gegevens geraakt die geheim moesten blijven onder een geheimhoudingsovereenkomst, treedt dan in contact met je contractspartij van wie de informatie is gelekt om een eventuele aansprakelijkheid te beperken. 

Vervolgens zijn er nog verschillende meld- en documentatieplichten op grond van de Wet beveiliging netwerk- en informatiesystemen, de Telecommunicatiewet en de Algemene verordening gegevensbescherming. Zo moet een incident waarbij persoonlijke data is geraakt binnen 72 uur nadat de organisatie daarmee bekend is geworden met het incident bij de Autoriteit Persoonsgegevens worden gemeld. Ook op grond van meer specifieke wetten die op de organisatie van toepassing zijn kunnen meldplichten voortvloeien, zoals de Wet financieel toezicht en de Wet kwaliteit, klachten en geschillen zorg.

Tot slot is het verstandig om direct te controleren of er dekking is onder de cyberverzekering. Vaak eisen verzekeraars in hun polis ook dat zij onderdeel worden van het onderzoek naar het incident.

Het kan in sommige gevallen ook verstandig zijn om contact op te nemen met de High Tech Crime Unit van de politie. Zij kunnen overgaan tot onderzoek en handhaving. Met de invoering van de NIS2-richtlijn kan dit nog worden uitgebreid met de bevoegde autoriteiten.

[1] Zie https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf

[2] Zie https://data.consilium.europa.eu/doc/document/ST-14337-2021-INIT/en/pdf

[3] Entiteiten die actief zijn op het gebied van defensie of nationale veiligheid, openbare veiligheid, wetshandhaving en rechterlijke macht, alsmede parlementen en centrale banken, zijn uitdrukkelijk van de werkingssfeer uitgesloten.

[4] https://www.ncsc.nl/onderwerpen/basismaatregelen/documenten/publicaties/2021/juni/28/handreiking-cybersecuritymaatregelen

[5] Presentatie van CMS op 25 januari 2022 voor het NGB