De afkorting NIS verwijst naar Network & Information Systems, ook wel bekend als de NIB-richtlijn in het Nederlands. In dit geval staat NIB voor richtlijn Netwerk en Informatiebeveiliging. Zowel NIS als NIB zijn afkortingen voor dezelfde richtlijn die door de EU is opgesteld om een kader te bieden voor de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid. Met andere woorden, het doel van de NIS is het verhogen van het niveau van cyberweerbaarheid binnen de EU. Gezien de toenemende dreigingen en de grote afhankelijkheid van de digitalisering van de maatschappij is de huidige NIS niet meer afdoende. Daarom wordt de richtlijn vervangen door de Network & Information Systems versie 2, ook wel bekend als NIS2.

Na de vaststelling van de NIS-richtlijn in 2016 hadden de EU-landen twee jaar de tijd om deze richtlijn om te zetten in nationale wetgeving. De NIS bood de EU-landen hierbij een aanzienlijke mate van vrijheid en flexibiliteit. In Nederland is de NIS-richtlijn omgezet in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Deze wet is van kracht sinds 9 november 2018 en heeft als doel de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en maatschappelijke ontwrichting te voorkomen.

In de NIS wordt gesproken over kritieke infrastructuur, waarbij de betrokken aanbieders bepaalde rechten en plichten hebben. De lidstaten hebben deze invulling grotendeels naar eigen inzicht kunnen bepalen. Met deze vrijheid beoogde de EU rekening te houden met nationale omstandigheden.

Ingangsdatum NIS2

Op 27 december 2022 is de NIS2 gepubliceerd en deze zal van kracht worden op 16 januari 2023. Alle Europese landen hebben tot 17 oktober 2024 de tijd om de richtlijn te implementeren in hun nationale wet- en regelgeving.

NIS: Essentieel voor de Nederlandse samenleving

De term kritieke infrastructuur heeft verschillende synoniemen, zoals essentiële infrastructuur en vitale infrastructuur. Volgens de overheid worden bepaalde processen als zodanig beschouwd omdat uitval of verstoring ervan kan leiden tot ernstige maatschappelijke ontwrichting en een bedreiging vormt voor de nationale veiligheid. Voorbeelden van dergelijke vitale processen zijn elektriciteitsvoorziening, internettoegang, drinkwatervoorziening en betalingsverkeer. De aanbieders (organisaties) zijn verantwoordelijk voor het waarborgen van de continuïteit van deze vitale processen. Onder de huidige wetgeving worden de organisaties die vitaal zijn vastgesteld door vakdepartementen. Elk vakdepartement heeft zijn eigen beleidsverantwoordelijkheid en bepaalt binnen deze verantwoordelijkheid welke organisaties als vitaal worden aangemerkt, en zij informeren deze organisaties hierover.

Tot slot is er een aparte categorie genaamd Digital Service Providers (DSP's), waaronder online marktplaatsen, cloudservices en zoekmachines vallen. Deze DSP's worden apart benoemd vanwege hun specifieke zorg- en meldplicht. Ook zij vallen onder de NIS-regelgeving.

De vitale aanbieders

In Nederland zijn er twee categorieën van vitale aanbieders, namelijk de Aanbieders van een Essentiële Dienst (AED) en de Andere Aangewezen Vitale Aanbieders (AAVA). Daarnaast maakt de NIS-richtlijn ook melding van Digital Service Providers (DSP's). Om het onderscheid tussen deze drie categorieën uit te leggen, is het belangrijk om terug te gaan naar de NIS-richtlijn, waarin specifieke sectoren worden genoemd waarop de richtlijn van toepassing is. Deze sectoren omvatten:

• Energie
• Transport
• Bankwezen
• Financiële instellingen
• Zorg
• Drinkwater
• Digitale infrastructuur

De aanbieders die binnen deze sectoren vallen en door het vakdepartement zijn aangewezen, behoren tot de groep AED. Daarnaast zijn er in Nederland processen die van vitaal belang zijn voor het land, zoals waterkering, maar die niet specifiek zijn opgenomen in de richtlijn. De aanbieders die dus vitaal zijn voor Nederland, maar niet onder de richtlijn vallen, worden aangeduid als AAVA.

Rechten en plichten

Alle vitale aanbieders hebben volgens de Wbni het recht op ondersteuning van het Nationaal Cyber Security Centrum (NCSC) bij het nemen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen. Daarnaast ontvangen deze partijen informatie en advies van het NCSC over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Voor Digital Service Providers (DSP's) geldt dat zij gebruik kunnen maken van het CSIRT DSP, dat momenteel valt onder het Ministerie van Economische Zaken en Klimaat.

Naast deze rechten hebben vitale aanbieders ook verplichtingen, waarbij onderscheid wordt gemaakt tussen zorgplicht en meldplicht. Vitale aanbieders zijn verplicht om digitale incidenten en bijna-incidenten die aan bepaalde drempelwaarden voldoen te melden bij zowel het NCSC als de toezichthouder waaronder de aanbieder valt. Het melden bij het NCSC is bedoeld voor het verkrijgen van ondersteuning en bijstand, terwijl het melden bij de toezichthouder dient om vast te stellen of de aanbieder de noodzakelijke technische en organisatorische maatregelen heeft genomen.

DSP's moeten digitale incidenten en bijna-incidenten melden bij het CSIRT DSP en RDI.

Waarom NIS2?

Als gevolg van de NIS-richtlijn is de cyberveiligheid van EU-landen aanzienlijk verbeterd. Het is echter gebleken dat de huidige richtlijn ontoereikend is, gezien de toenemende dreigingen en de grote afhankelijkheid van digitalisering, die tijdens de coronacrisis nog duidelijker aan het licht kwam. Om deze reden heeft de Europese Commissie een voorstel ingediend om de bestaande NIS-richtlijn te vervangen door een nieuwe versie genaamd NIS2. Het besluitvormingsproces voor NIS2 is echter nog niet volledig afgerond. De verschillen tussen de huidige NIS-richtlijn (NIS1) en NIS2 hebben betrekking op sectoren en aanbieders, beveiligingseisen en toezichtsmaatregelen.

Sectoren en aanbieders

NIS1 hanteert twee categorieën van sectoren, namelijk kritieke infrastructuur en Digital Service Providers (DSP's). Zoals eerder vermeld, is het aan elke afzonderlijke lidstaat overgelaten om te bepalen welke aanbieders (organisaties) binnen deze categorieën vallen. NIS2 introduceert nu enkele wijzigingen in deze sectoren, breidt het aantal sectoren uit en biedt strengere richtlijnen met betrekking tot de betreffende aanbieders. Dit betekent dat lidstaten niet langer individuele aanbieders hoeven aan te wijzen.

Over het algemeen geldt de volgende richtlijn: alle organisaties binnen een essentiële sector met meer dan 50 medewerkers en een omzet van meer dan 10 miljoen euro worden gedefinieerd als essentiële aanbieders. Als er echter organisaties zijn binnen deze sector die van essentieel belang zijn, maar minder dan 50 medewerkers en minder dan 10 miljoen euro omzet hebben, kan een lidstaat deze alsnog aanmerken als essentiële aanbieders.

Naast de "essentiële sectoren" definieert NIS2 nu ook een tweede categorie, namelijk de "belangrijke sectoren". Het verschil tussen "essentieel" en "belangrijk" ligt hierbij in de mate van toezicht. Essentiële entiteiten vallen onder proactief toezicht, terwijl belangrijke entiteiten onder reactief toezicht vallen.

Beveiligingseisen: NIS2 gaat een stap verder

Naast de uitbreiding van sectoren en aanbieders zijn er ook verschillen tussen NIS1 en NIS2 met betrekking tot de vereiste beveiligingseisen. In NIS1 wordt van lidstaten verwacht dat ze een nationale strategie voor netwerk- en informatiebeveiliging hebben vastgesteld. Bovendien moeten lidstaten beveiligings- en meldingsvereisten hebben opgesteld voor de betreffende sectoren (essentieel en DSP).

NIS2 gaat verder in het definiëren van beveiligingseisen voor essentiële en belangrijke sectoren. Hierbij is de certificering van producten, diensten en processen volgens specifieke EU-cybersecuritycertificatieschema's van groot belang. Naast wat reeds is voorgeschreven in NIS1, bevat NIS2 ook een sectie (Artikel 21 van de NIS-richtlijn) die specifieke eisen stelt aan organisaties die zich in de toeleveringsketen van een kritieke sector bevinden, evenals het opzetten van processen met betrekking tot incidentafhandeling. Bovendien zal ook de verplichting tot melden van potentiële cyberdreigingen worden uitgebreid.

Versterking van het toezicht en meer consistentie

In NIS1 wordt geëist dat alle lidstaten hun toezichthoudende instanties versterken en de mogelijkheid hebben om boetes op te leggen in geval van non-compliance. De specifieke invulling hiervan, evenals de hoogte van de boetes, is echter aan de lidstaten overgelaten. Zowel NIS2 als NIS1 bieden de lidstaten ruimte om hierin hun eigen invulling te geven. Desalniettemin zal er meer duidelijkheid komen over hoe de toezichthoudende instanties moeten handhaven. Denk bijvoorbeeld aan boetes vergelijkbaar met die van de AVG (Algemene verordening gegevensbescherming) in geval van non-compliance. Het idee is dat het toezicht strenger geregeld wordt en dat de handhaving en boetes meer consistent zijn tussen de lidstaten.