NIS-2: Hoe zit het daarmee?
Blogpost van Pieter Byttebier (International Relations Officer - CCB) - 30 april 2022.
In december 2020 heeft de Europese Commissie een voorstel gepubliceerd om de huidige NIS-richtlijn (“Network and Information Systems”, Europese richtlijn betreffende de beveiliging van de netwerk- en informatiesystemen) in te trekken en te vervangen door een nieuwe richtlijn: de zogenaamde NIS-2-richtlijn. Tijdens de presentatie van de Europese strategie voor cyberbeveiliging riepen de commissieleden het NIS-2-voorstel uit tot vlaggenschipinitiatief.
Sindsdien is de tekst in de kronkelwegen van de Europese wetgeving terechtgekomen en is het volgens sommigen onduidelijk geworden of de NIS-2-richtlijn er al dan niet zal komen, op wie ze van toepassing zal zijn en wat ze precies zal inhouden.
In dit artikel geven we u een overzicht van de stand van zaken van de onderhandelingen over de NIS-2-richtlijn en nemen we alle bekende en nog niet bekende aspecten over de uiteindelijke vorm van de toekomstige richtlijn door.
NIS-1, NIS-2: waarover gaat het precies?
De huidige NIS(-1)-richtlijn trad in 2016 in werking. Het was de eerste wettekst inzake cyberbeveiliging op EU-niveau. De tekst werd vervolgens in de nationale Belgische wetgeving omgezet via de NIS-wet van 7 april 2019.
De NIS-1-richtlijn verplicht de lidstaten ertoe nationale cyberbeveiligingsstrategieën te ontwikkelen en grensoverschrijdend samen te werken via de NIS Cooperation Group en het CSIRT-netwerk. Ze verplicht de lidstaten ook om aanbieders van essentiële diensten (AED’s) aan te wijzen in ten minste 7 sectoren: energie, vervoer, bankwezen, infrastructuur van de financiële markten, gezondheidszorg, drinkwater en digitale infrastructuur. Deze aanbieders moeten minimale veiligheidsmaatregelen nemen en ernstige incidenten melden. De verleners (vanaf een bepaalde omvang) van essentiële digitale diensten, zoals clouddiensten, zoekmachines en online marktplaatsen, moeten ook aan deze beveiligings- en meldingseisen voldoen.
Sinds 2016 heeft de Europese Commissie de doeltreffendheid van deze richtlijn bestudeerd. Uit deze analyse blijkt dat NIS-1 weliswaar veel positieve resultaten heeft opgeleverd, maar dat het toepassingsgebied te beperkt is. In de afgelopen 6 jaar zijn de cyberdreigingen aanzienlijk toegenomen, net als onze economische en maatschappelijke verbondenheid en onze afhankelijkheid van de digitale wereld. De commissie heeft ook een gebrek aan duidelijkheid over het toepassingsgebied en de bevoegdheden vastgesteld, een ondoeltreffende toepassing, te grote verschillen tussen de nationale benaderingen en de maturiteit, en een algemeen gebrek aan informatie-uitwisseling.
Om dit te verhelpen, heeft de Commissie voorgesteld om het toepassingsgebied van NIS-1 uit te breiden tot meer sectoren en entiteiten, de regels voor de identificatie van deze entiteiten te harmoniseren (waarbij een omvangslimiet als automatisch en uniform criterium wordt gehanteerd), de veiligheidsvereisten uit te breiden, leidinggevenden en bestuursraden meer bij het beleid te betrekken en meer verantwoordelijkheid te geven, de sancties en de toezichtbevoegdheden van de bevoegde instanties te harmoniseren en te versterken, de verplichtingen inzake incidentenmelding (bv. termijnen, op te nemen informatie) te verduidelijken en de beveiliging van de bevoorradingsketen binnen elke entiteit en op Europees niveau te versterken. De commissie heeft ook voorgesteld om de Europese samenwerking te intensiveren door de mandaten van de NIS Cooperation Group en het CSIRT-netwerk te versterken en door een nieuw platform voor het beheer van grootschalige grensoverschrijdende cyberbeveiligingscrises formeel te erkennen. Ook wordt voorgesteld een Europees kader te creëren voor de gecoördineerde bekendmaking van kwetsbaarheden.
Hoe zit het met het voorstel en wat is het tijdschema?
Kort na de lancering van het NIS-2-voorstel zijn het Europees Parlement (vertegenwoordigd door de NIS-rapporteur en Europees parlementslid Bart Groothuis - Renew) en de Europese Raad (vertegenwoordigd door de voorzitterschappen van de Raad: Portugal (januari-juni 2021), Slovenië (juli-december 2021) en momenteel Frankrijk (januari-juni 2022)) begonnen met het opstellen van amendementen bij de tekst, zodat elke betrokkene een NIS-2-versie kan ontwikkelen die voor hem aanvaardbaar is.
Na talrijke interne onderhandelingen resulteerden deze besprekingen in twee gewijzigde versies van het NIS-2-voorstel:
- het standpunt van het Parlement, aangenomen op 4 november 2021
- de algemene aanpak van de Raad, aangenomen op 3 december 2021
Inclusief het oorspronkelijke voorstel van de Commissie zijn er nu 3 NIS-2-versies in omloop. Het is echter van belang te benadrukken dat geen van deze voorstellen de definitieve vorm van de richtlijn is.
In januari 2022 zijn de Raad en het Parlement, bijgestaan door de Commissie, begonnen met de zogeheten "trialogen", technische en politieke onderhandelingen waarin de medewetgevers trachten om van deze 3 versies van de tekst één aanvaardbare, eensluidende versie te maken - een compromis, dat vervolgens aan de Raad en het Parlement ter definitieve goedkeuring kan worden voorgelegd.
Alle onderhandelaars streven ernaar om zo snel mogelijk een tekst aan te nemen. Het Franse voorzitterschap heeft verklaard dat het tegen begin juni 2022 een politiek akkoord wil bereiken. Rekening houdend met de officiële vertalingen, de stemming en de bekendmaking, zou de richtlijn dus in het najaar officieel moeten worden bekendgemaakt.
De lidstaten hebben dan 18 tot 24 maanden de tijd (de exacte termijn wordt momenteel nog besproken) om de richtlijn in hun nationale wetgeving om te zetten. We kunnen dus in de loop van 2024 een nieuwe Belgische NIS-wet verwachten. De verplichtingen voor organisaties in België zouden dan realistisch gezien begin 2025 van kracht moeten worden - afhankelijk van de inhoud van de Belgische wet.
Uit dit tijdschema kunnen twee conclusies worden getrokken:
- Zolang er geen nieuwe Belgische NIS-2-wet is, blijven alle verplichtingen uit hoofde van de NIS-1-richtlijn van kracht.
- U hoeft niet tot 2025 te wachten om te investeren in cyberbeveiliging voor uw organisatie. Cyberbeveiliging is geen conformiteitsverplichting, maar wel een essentieel aspect van de bescherming van uw onderneming. De NIS-wetten zijn gewoon bedoeld om ons als samenleving in staat te stellen ervoor te zorgen dat entiteiten die diensten verlenen die fundamenteel zijn voor onze economie en levenswijze, minimale maatregelen nemen om hun diensten (en dus ons) te beschermen tegen ernstige verstoringen.
Wat vonden de Raad en het Parlement van NIS-2?
Over het geheel genomen hebben het Parlement en de Raad het NIS-2-voorstel gunstig onthaald; hun standpunten verschillen vooral op een paar belangrijke punten.
Het belangrijkste is het toepassingsgebied: het Parlement wil ambitieus zijn met een breed en uniform toepassingsgebied, terwijl de Raad zich richt op een evenredige en gedifferentieerde risicogebaseerde aanpak voor zowel entiteiten als hun toezichthouders, omdat hij vreest dat een aanzienlijke toename van het aantal entiteiten dat onder het toepassingsgebied valt, zou kunnen leiden tot een buitensporige last voor ondernemingen en overheidsinstanties. (Het CCB is van mening dat het aantal onder de richtlijn vallende entiteiten tussen NIS-1 en NIS-2 met een factor 20 tot 40 zou kunnen toenemen). Niettemin hebben beide medewetgevers nieuwe sectoren in hun versies opgenomen. Ook het Parlement volgde de Commissie in haar wens om overheidsinstanties op te nemen. De Raad stemde ermee in, maar voerde specifieke regels in voor de uitvoering, rekening houdend met nationale veiligheidsvraagstukken en de verschillende nationale structuren van de staten.
De Raad wil dat incidenten binnen maximaal 24 uur worden gemeld, maar het Parlement heeft het over 72 uur, behalve wanneer de beschikbaarheid in het geding is: in dat geval zou de termijn ook 24 uur bedragen. Het Parlement wenst ook dat landen gemeenschappelijke meldingsplatforms opzetten die ook meldingen in het kader van andere wetten (zoals de AVG) bestrijken, terwijl de Raad de lidstaten hier zelf over wil laten beslissen.
Om NIS-2 toekomstbestendig te maken, zou de Commissie ook de bevoegdheid krijgen om in een later stadium specifieke of geharmoniseerde regels vast te stellen over bijvoorbeeld gedetailleerde beveiligingsmaatregelen of de melding van incidenten. De Raad en het Parlement hebben uiteenlopende standpunten ingenomen over de reikwijdte van de bevoegdheden van de Commissie en over de vraag of het moet gaan om gedelegeerde handelingen of om uitvoeringsbesluiten (een belangrijk verschil in de procedure, zie link voor details).
De Raad is ook geen voorstander van het voorgestelde systeem van peer review en geeft er de voorkeur aan dat landen van elkaar leren in plaats van elkaar te inspecteren, zoals de Commissie en het Parlement het wensen.
Dit laatste aspect raakt aan een belangrijk politiek punt dat aan veel andere verschillen ten grondslag ligt: cyberveiligheid blijft, net als elke vorm van veiligheid, in wezen een nationale bevoegdheid. Toch is Europa bevoegd voor de interne markt, die afhankelijk is van cyberveiligheid. Welk evenwicht zullen de medewetgevers tot stand brengen?
Wat weten we al?
Laten we ons tot slot over de technische details van de drie teksten buigen en enkele kernpunten aanwijzen waarover het Parlement en de Raad het al dan niet eens zijn.
Vrijwaringsclausule alvorens we beginnen: niets is definitief tot de definitieve tekst is gestemd en gepubliceerd. De onderstaande uitleg is geenszins bindend en geeft slechts een persoonlijk overzicht van veronderstellingen die waarschijnlijk zullen worden uitgevoerd. De feitelijke verplichtingen zullen pas in de definitieve tekst worden uiteengezet.
1. Zal NIS-2 op u betrekking hebben?
Zowel het Parlement als de Raad zijn het min of meer eens over de sectoren die in NIS-2 moeten worden opgenomen. Afgezien van de discussies over de voorgestelde aanvullende sectoren, zoals onderzoeksinstellingen, snellaadstations en beheerde (beveiligings)dienstverleners, of de discussies over de specifieke overheidssector, is het duidelijk dat alle onderstaande sectoren zullen worden opgenomen: energie (elektriciteit, olie, gas, stadsverwarming en waterstof), vervoer (lucht, spoor, water en weg), bankwezen, infrastructuur van de financiële markten, gezondheid (inclusief laboratoria en onderzoek naar farmaceutische producten en medische apparatuur), drinkwater, afvalwater (maar alleen als het om een kernactiviteit gaat), digitale infrastructuur (telecommunicatie, DNS, TLD's, datacenters, trustdiensten, clouddiensten), digitale diensten (zoekmachines, online marktplaatsen, sociale netwerken), ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie (productie en distributie), levensmiddelen (productie, verwerking en distributie) en fabricage (in het bijzonder, maar niet uitsluitend medische, IT- en transportapparatuur). Voor een gedetailleerde lijst van deze sectoren en het type marktdeelnemers dat wordt beoogd, wordt verwezen naar de bijlagen bij elk van de drie voorstellen, die kunnen worden geraadpleegd via de bovenstaande links.
Een entiteit die in een van deze sectoren actief is en (in haar laatste twee boekjaren) meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro had (d.w.z. grote of middelgrote ondernemingen), zal aan de voorschriften van de richtlijn moeten voldoen.
Meer in het bijzonder zullen entiteiten moeten voldoen aan de regels van de lidstaten waar ze een vestiging hebben. Voor bepaalde digitale sectoren wordt echter een éénloketsysteem ingevoerd: entiteiten zullen slechts onderworpen zijn aan de regels van één land, nl. dat waar ze hun "hoofdvestiging" hebben (maar dat land kan andere lidstaten om bijstand verzoeken voor het toezicht op zijn eigen grondgebied). Om inbreuken te voorkomen zal het Europees Agentschap voor Cyberbeveiliging (ENISA) ook een register van deze loketten bijhouden.
Dit zijn de grote lijnen, maar sommige details en uitzonderingen zullen de situatie complexer maken. In sommige specifieke (sub)sectoren, zoals digitale infrastructuur, zal de omvang er bijvoorbeeld niet toe doen en zullen alle entiteiten in de sector worden bestreken. De lidstaten zullen ook entiteiten kunnen identificeren, ongeacht hun omvang, indien ze van kritiek belang worden geacht voor maatschappelijke of economische functies.
Gezien deze complexiteit en het zeer grote aantal nieuwe entiteiten dat wordt verwacht, hebben de Europese medewetgevers voorgesteld dat de lidstaten een overzicht van de entiteiten opstellen, bijvoorbeeld via een nationaal zelfregistratieplatform waar basisinformatie moet worden verstrekt.
De discussie blijft echter open wat de categorieën betreft waarin de entiteiten zullen worden ondergebracht: essentiële entiteiten of belangrijke entiteiten. Het verschil zou voornamelijk zijn dat de essentiële entiteiten strenger kunnen worden gecontroleerd en aan zwaardere sancties kunnen worden onderworpen. De Commissie en het Parlement willen deze categorieën indelen per sector: alle entiteiten die actief zijn in de in bijlage I genoemde sectoren zouden essentieel zijn; entiteiten die actief zijn in de in bijlage II genoemde sectoren zouden belangrijk zijn. De Raad wil ook proportionele verschillen binnen de sectoren invoeren. Volgens de Raad zouden alleen grote entiteiten (d.w.z. meer dan 250 werknemers of een jaaromzet van 50 miljoen euro) in de sectoren van bijlage I essentieel zijn. Middelgrote entiteiten van bijlage I en alle entiteiten van bijlage II zouden belangrijk zijn. Sommige digitale sectoren zouden allemaal essentieel zijn, ongeacht hun omvang, en de lidstaten zullen altijd de mogelijkheid hebben om entiteiten in een hogere categorie in te delen.
2. Wat als ook andere wetgeving op mijn sector van toepassing is?
Alle partijen willen dat de NIS-2 een basiswetgeving wordt. Indien op het gebied van cyberbeveiligingskwesties een wetgeving wordt aangenomen die strenger is dan de NIS-2, bijvoorbeeld in een specifieke sector, dan heeft die sectorale wetgeving voorrang, maar alleen op die punten waar ze effectief strenger is en alleen voor haar eigen werkingssfeer. Dit zal bijvoorbeeld het geval zijn voor de DORA-verordening betreffende de financiële sector. De commissie zal aanwijzingen geven over waar de wetgeving strenger is en de overheidsinstanties zullen moeten meewerken. Bij gebrek aan specifieke sectorale wetgeving op het gebied van cyberbeveiliging zullen de uit de NIS-2 voortvloeiende algemene regels als basis dienen.
Voorts zullen bepaalde cyberbeveiligingsbepalingen betreffende de telecommunicatiesector en de vertrouwensdiensten, die momenteel onder de Telecommunicatiecode en de eIDAS-verordening vallen, in het NIS-kader worden geïntegreerd.
Indien een entiteit ook wordt geïdentificeerd als kritieke entiteit volgens de nieuwe richtlijn betreffende kritieke infrastructuur (CER-richtlijn, die vooral betrekking heeft op niet-cyberbeveiliging), valt ze automatisch onder het toepassingsgebied van NIS-2 voor cyberbeveiliging.
3. Welke maatregelen zullen de entiteiten moeten nemen?
Alle entiteiten zullen risicoanalyses moeten maken van het potentieel en de gevolgen van incidenten en vervolgens organisatorische en technische maatregelen moeten treffen die in verhouding staan tot dit risico.
In de NIS-2-richtlijn zal eenvoudigweg worden bepaald (zie artikel 18) dat entiteiten moeten beschikken over plannen voor incidentenbeheer, activiteitencontinuïteitsplannen en crisisbeheersplannen, beleidsmaatregelen en procedures om de doeltreffendheid van deze maatregelen te beoordelen, alsook beleidsmaatregelen inzake het gebruik van cryptografie, de beveiliging van personeel, het gebruik van passende authenticatiesystemen en het beheer van de bevoorradingsketen.
Een ander cruciaal element is dat de directie van de entiteiten al deze maatregelen uitdrukkelijk zal moeten goedkeuren en een basisopleiding cyberbeveiliging zal moeten volgen.
Zodra de definitieve tekst is opgesteld, is het aan de lidstaten om specifieke richtsnoeren of regels uit te vaardigen over de meer gedetailleerde normen die in acht moeten worden genomen. Het debat tussen het Parlement en de Raad over wat de proportionaliteit van de maatregelen in de praktijk zou betekenen, is nog steeds aan de gang.
De Europese Commissie zou ook de bevoegdheid kunnen krijgen om meer specifieke regels voor dergelijke maatregelen uit te vaardigen, althans voor bepaalde digitale sectoren, hoewel, zoals hierboven vermeld, de reikwijdte van deze bevoegdheden nog ter discussie staat.
De Commissie en de lidstaten zullen ook gecoördineerde risicobeoordelingen van bepaalde producten of diensten kunnen uitvoeren.
Voortbouwend op de bestaande mogelijkheden van de Cybersecuritywet zullen de lidstaten en de EU ook het gebruik van sectorspecifieke certificering voor bepaalde producten, diensten of processen kunnen opleggen om de naleving van de NIS-2-norm aan te tonen of te garanderen. In dit stadium werd echter nog geen enkel EU-certificeringssysteem volledig ingevoerd, waardoor de naleving ervan onmogelijk kan worden afgedwongen. Er zijn drie systemen in ontwikkeling: gemeenschappelijke criteria (producten), cloud computing en 5G. Voordat deze vrijwillige systemen verplicht worden gesteld, zullen de stakeholders en de lidstaten uitvoerig worden geraadpleegd over de mogelijke gevolgen, de termijnen en de kosten, en over de beschikbare alternatieven voor deze verplichte certificeringen.
Bovendien zullen de entiteiten ernstige incidenten op het gebied van cyberbeveiliging moeten melden (maar niet de dreigingen, zoals de Commissie oorspronkelijk had voorgesteld). De drempels voor wat onder “ernstig incident” wordt verstaan, zijn (nog) niet vastgelegd. Het is echter duidelijk dat de entiteiten incidenten zo snel mogelijk moeten melden, gevolgd door een uitgebreider verslag en een eindverslag, hetzij een maand na het incident, hetzij wanneer het is afgesloten.
4. Wat zullen de sancties zijn?
De lidstaten zullen bevoegde instanties moeten aanwijzen en hun de bevoegdheid moeten geven inspecties uit te voeren, (gerichte) audits of veiligheidsanalyses te eisen en informatie op te vragen, om ervoor te zorgen dat de entiteiten aan al deze verplichtingen voldoen. De essentiële entiteiten zullen aan een strenger toezicht worden onderworpen (met inbegrip van de mogelijkheid om regelmatig audits uit te voeren of bewijsstukken op te vragen met betrekking tot de nakoming van de verplichtingen).
De overheidsinstanties moeten ook de bevoegdheid krijgen om bindende instructies en waarschuwingen te geven. Indien de entiteiten niet aan de eisen voldoen, moeten de overheidsinstanties termijnen kunnen opleggen, certificeringen kunnen intrekken en boetes of administratieve sancties kunnen opleggen. Dergelijke boetes moeten echter altijd afschrikkend, doeltreffend en evenredig zijn. De lidstaten moeten het maximumbedrag van de boetes vaststellen, maar het Parlement en de Raad zijn het nog steeds niet eens over het precieze bedrag. In ieder geval gaat het om een maximum van 2 miljoen euro of 1% van de totale omzet. De medewetgevers waren het er echter over eens dat de overheidsinstanties geen publieke verklaringen mogen afleggen waarin wordt aangegeven wie verantwoordelijk is voor de niet-naleving.
Voor alle details over deze bepalingen, zie de artikelen 28 tot en met 34.
Ter conclusie kan worden gesteld dat de NIS-2-richtlijn op schema ligt en dat in de komende twee weken veel beslissingen zullen worden genomen over de Europese basisstructuur. Het is dan aan de lidstaten om de verplichtingen ten uitvoer te leggen en, indien ze dit wensen, nog verder te gaan. Het is de bedoeling voort te bouwen op de NIS-1-richtlijn en de basis die de afgelopen drie jaar is gelegd, verder uit te bouwen. In de tussentijd kunt u alvast beginnen met het verbeteren van de basis- of uitgebreide cyberbeveiligingsmaatregelen van uw organisatie. Geen enkele inspanning is een verspilde investering.