Vraag en antwoord

De omzetting van de NIS2- en CER-richtlijnen in Nederlandse wetgeving is momenteel volop in ontwikkeling. Europese lidstaten hebben tot eind 2024 de tijd om de richtlijnen om te zetten in nationale wetgeving. Op de pagina's van de NIS2 en CER worden de verplichtingen van deze richtlijnen samengevat, inclusief de sectoren waarop ze van toepassing zijn. Dit biedt organisaties inzicht in de mogelijke verplichtingen waar zij aan moeten voldoen.

Voor de zomer van 2024 wordt een publieke internetconsultatie gestart, waarbij burgers, bedrijven en overheidsinstellingen feedback kunnen geven op de voorbereiding van deze wetgeving. Op dat moment zal meer duidelijkheid worden verschaft over de gevolgen en invulling van de wetgeving.

Nadere invulling van deze wetgeving vindt plaats via een algemene maatregel van bestuur (AMvB) en sectorspecifieke ministeriële regeling.

De richtlijnen verplichten lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen bij het versterken van hun weerbaarheid tegen zowel fysieke als digitale risico's. Zo schrijft de CER-richtlijn voor dat de overheid elke vier jaar per sector een risicobeoordeling uitvoert en deelt deze met kritieke entiteiten binnen die sector. De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten ondersteund worden met advies en bijstand door een CSIRT (Computer Security Incident Response Team).

De overheid kan verdere ondersteuning bieden in de vorm van informatie-uitwisseling, richtlijnen, en instrumenten ter verhoging van de weerbaarheid, zoals bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Nee, er wordt geen geld beschikbaar gesteld voor individuele organisaties. Het ministerie van VWS kijkt wel hoe de zorgsector als geheel kan worden ondersteund, bijvoorbeeld door het ter beschikking stellen van kennisproducten en hulpmiddelen om te helpen met de implementatie.

Ja, de conceptwetgeving gebaseerd op de NIS2- en CER-richtlijnen wordt door het Ministerie van Justitie en Veiligheid gepubliceerd op www.internetconsultatie.nl. Hier kan iedereen opmerkingen en suggesties toevoegen, die vervolgens gebruikt kunnen worden om de wetgeving te verbeteren. De internetconsultatie wordt naar verwachting gehouden voor de zomer van 2024, hoewel de exacte datum nog niet bekend is. Zodra de datum bekend is, wordt dit onder andere op deze website aangekondigd.

Weerbaarheid verwijst naar het vermogen om een incident te voorkomen, te beperken, of effectief te beheersen, en om bescherming te bieden of bestand te zijn tegen, te reageren op, of zich aan te passen aan en te herstellen van een incident. In het geval van de CER kunnen hier zowel natuurrampen als door de mens veroorzaakte rampen onder vallen, zowel onbedoeld als opzettelijk. Denk hierbij aan ongevallen, overstromingen, terroristische misdrijven, criminele infiltratie, of sabotage. Wat betreft de NIS2-richtlijn omvat weerbaarheid bijvoorbeeld bescherming tegen gijzelsoftware, malware, of cyberaanvallen op de toeleveringsketen.

De minister van Justitie en Veiligheid heeft de Tweede Kamer op 31 januari via een Kamerbrief geïnformeerd over aangepaste planning voor het omzetten van de NIS2-richtlijn in Nederlandse wetgeving. In deze brief heeft de minister aangegeven dat de internetconsultatie voor de zomer van 2024 plaatsvindt. Hierdoor zal Nederland de implementatiedeadline van de Europese Commissie op 17 oktober 2024 niet halen. Dit betekent dat er tot de inwerkingtreding van de Nederlandse wetgeving in 2025 geen nationale wetgeving van kracht zal zijn die de nieuwe eisen van de NIS2-richtlijn wettelijk afdwingbaar maakt. Organisaties krijgen daardoor extra tijd om zich voor te bereiden. De exacte datum waarop de Nederlandse wetgeving van kracht wordt, is nog niet vastgesteld.

Communicatie vanuit VWS verloopt via deze website (www.gegevensuitwisselingindezorg.nl/weerbaarheid). Daarnaast vindt directe berichtgeving aan koepelverenigingen en andere samenwerkingsverbanden in de zorgsector plaats via het ministerie van VWS.

Volgens de NIS2-richtlijn kunnen bestuurders van een entiteit aansprakelijk worden gesteld als zij niet voldoen aan hun plicht om te zorgen voor naleving van de richtlijn. Op dit moment is nog niet definitief vastgesteld hoe dit artikel wordt opgenomen in de nationale wet- en regelgeving.

Ja, de Inspectie Gezondheidszorg en Jeugd (IGJ) kan een geldboete opleggen met een maximumbedrag van 10.000.000 euro of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming, afhankelijk van welk bedrag hoger is. Op dit moment is nog niet bekend hoe dit wordt opgenomen in de nationale wetgeving.

De huidige Wbni en de uitwerking van de regels in het Besluit beveiliging netwerk- en informatiesystemen (Bbni) zijn op dit moment van kracht. De NIS2- richtlijn zal in Nederland in een andere wet worden omgezet.
Dit betekent dat de huidige Wbni en Bbni worden aangepast op de nieuwe wet.

De Algemene verordening gegevensbescherming (AVG) en de NIS2-richtlijn staan los van elkaar. Hoewel zowel de AVG als de NIS2-richtlijn voortkomen uit Europese wetgeving, behandelen ze verschillende aspecten. De AVG richt zich op privacy en biedt richtlijnen aan bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Daarnaast stelt de AVG voorwaarden vast waaronder er met (bijzondere) persoonsgegevens mag worden gewerkt.

Aan de andere kant richt de NIS2-richtlijn zich op de informatiebeveiliging van bedrijven en organisaties, zonder specifiek in te gaan op persoonsgegevens van individuen. De wettelijke kaders van de NIS2-richtlijn zijn ontworpen om te voorkomen dat (persoons)gegevens in verkeerde handen vallen.

Entiteiten die significante incidenten moeten melden volgens wetgeving die voortkomt uit de NIS2-richtlijn dienen zich eerst te registreren. Registreren en melden kan straks in hetzelfde portaal. Organisaties hebben ook de mogelijkheid om vrijwillig te registreren en melden. Er wordt één centraal meldpunt opgezet voor incidenten die volgens de Nederlandse wetgeving voortkomend uit de NIS2-richtlijn gemeld moeten worden.

Het melden van significante incidenten onder de NIS2-richtlijn staat los van andere meldplichten, zoals die van de AVG. Het is daarom mogelijk dat entiteiten incidenten op meerdere plekken moeten melden, aangezien een incident verschillende aspecten kan hebben (zie de tabel hieronder).

Moet mijn organisatie extra actie ondernemen naar aanleiding van de NIS2-richtlijn, als al aantoonbaar wordt voldaan aan de NEN7510?

Voldoen aan de NEN7510 is al verplicht voor zorgaanbieders en dekt enkele verplichtingen van de NIS2-richtlijn af. Naast het implementeren van maatregelen op het gebied van digitale veiligheid (de zorgplicht waarvoor de NEN7510 het kader biedt), dienen belangrijke en essentiële entiteiten volgens de NIS2-richtlijn grootschalige incidenten te melden (meldplicht) en bij ernstige bedreigingen van hun netwerk de ontvangers van hun diensten te informeren over mogelijke gevolgen (informatieplicht).

Aanvullend schrijft de NIS2-richtlijn voor dat organisaties (in alle sectoren onder de NIS2, inclusief de gezondheidszorg) zich eenmalig registreren in een nog te ontwikkelen register (registratieplicht). Bovendien benadrukt de NIS2-richtlijn dat bestuurders van belangrijke en essentiële entiteiten verantwoordelijkheid dragen voor informatiebeveiliging. Het is dus raadzaam om aanvullende acties te ondernemen om te voldoen aan specifieke vereisten van de NIS2-richtlijn die niet volledig door de NEN7510 worden afgedekt.

Voor een overzicht van de vereisten uit de NIS2-richtlijn ten opzichte van de NEN 7510 zie onderstaande tabel.

Nee, de NIS2-richtlijn verplicht niet tot het aanstellen van een security functionaris in loondienst. Een functionaris die zich voornamelijk of uitsluitend richt op informatiebeveiliging binnen het bedrijf kan wel helpen om de regelgeving die voortvloeit uit de NIS2-richtlijn beter te implementeren en na te leven.

De CER-richtlijn wordt omgezet in Nederlandse wet- en regelgeving, waaronder een ministeriële regeling. In deze ministeriële regeling zal het ministerie van VWS criteria opnemen op basis waarvan organisaties in de zorg worden aangewezen als kritieke entiteit. Het vaststellen van de criteria in de ministeriële regeling en het vervolgens aanwijzen van organisaties in de zorgsector zal in 2025 plaatsvinden.

De organisaties die onder de wet worden aangewezen als kritieke entiteit, worden hiervan schriftelijk op de hoogte gebracht door het ministerie van VWS. De  aangewezen kritieke entiteiten hebben vervolgens 10 maanden vanaf het moment van aanwijzing om aan de verplichtingen uit de wet te voldoen.

De CER-richtlijn biedt de ruimte om gebruik te maken van nationaal recht om bestuurders van entiteiten (die door het ministerie van VWS zijn aangewezen in het kader van de CER) aansprakelijk te stellen. Hoe dit wordt opgenomen in nationale en lagere wetgeving wordt op dit moment uitgewerkt.

Volgens de CER-richtlijn moet Nederland voorschriften vaststellen met betrekking tot het opleggen van sancties. Hoe dit in de nationale wetgeving wordt opgenomen, is op dit moment nog niet bekend. Het toezicht op de zorgsector zal worden uitgevoerd door de Inspectie Gezondheidszorg en Jeugd.

De CER-richtlijn bevat algemene criteria voor het aanwijzen van entiteiten, die van toepassing zijn op alle sectoren onder de CER. Op basis van deze criteria zal het ministerie van VWS wellicht meer specifieke criteria opstellen voor de zorgsector om de wet gericht toe te passen op de juiste doelgroep.

Mogelijke criteria voor het aanwijzen van entiteiten in de zorgsector kunnen betrekking hebben op unieke functies of voorzieningen binnen de Nederlandse zorg. Overwegingen kunnen ook worden gemaakt met betrekking tot geografische spreiding en de verplaatsbaarheid van voorzieningen.

Nee, dit is niet de insteek van de wet. De focus ligt op het vooraf identificeren van mogelijke kwetsbaarheden. De lijst van kritieke entiteiten wordt echter regelmatig, minstens eens in de vier jaar, geëvalueerd en geactualiseerd.