Sinds begin dit jaar is de NIS2-richtlijn van kracht. De richtlijn laat aan lidstaten de ruimte om zelf een afweging te maken of lokale overheden, zoals gemeenten, waterschappen en gemeenschappelijke regelingen onder de richtlijn vallen. Recentelijk is het wetsvoorstel voor de Cyberbeveiligingswet ter internetconsulatie gelegd. Zoals al werd verwacht is in het ontwerp opgenomen dat decentrale overheden, waaronder gemeenten, waterschappen en provincies, onder de NIS2 zullen vallen.
Foto: Gemeentehuis van Deventer, door PeHa, via Wikimedia Commons
De NIS2-richtlijn is een update van de NIS-richtlijn. NIS2 stelt strengere eisen aan de beveiliging van netwerken en informatiesystemen van essentiële en belangrijke entiteiten in bepaalde sectoren. Kort samengevat bevat de NIS2-richtlijn een zorgplicht, op grond waarvan entiteiten zelf een risicobeoordeling dienen uit te voeren en passende maatregelen dienen te nemen om de continuïteit van diensten zoveel mogelijk te waarborgen en netwerk- en informatiesystemen te beschermen.
Daarnaast geldt er een meldplicht van incidenten en zal er een onafhankelijke toezichthouder worden aangewezen. NIS2 is van toepassing naast bijvoorbeeld de beveiligingsverplichting in de Algemene Verordening Gegevensbescherming (‘AVG’). Waar de AVG ziet op bescherming van persoonsgegevens, legt NIS2 de nadruk op de continuïteit van essentiële diensten.
Voor de sector overheidsdiensten zal de Rijksinspectie voor Digitale Infrastructuur (RDI) toezicht houden op het stelsel van informatieveiligheid.
Uit het wetsvoorstel voor de Cyberbeveiligingswet blijkt dat de wetgever voornemens is om decentrale overheden, waaronder gemeenten, waterschappen en provincies onder de reikwijdte van de NIS2-richtlijn te laten vallen en als essentiële entiteiten aan te merken. Gemeenschappelijke regelingen en zelfstandige bestuursorganen zullen veelal eveneens onder de onder de reikwijdte vallen.
Overheidsinstanties die in de hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, vallen niet onder de richtlijn.
Veel verplichtingen die de NIS2-richtlijn en de Cyberbeveiligingswet opleggen, zijn al van toepassing op lokale overheden via andere wettelijke kaders. De wijze waarop overheden aan deze beveiligingsverplichtingen voldoen is uitgewerkt in de Baseline Informatiebeveiliging Overheid (BIO). Er wordt nu gewerkt aan een vernieuwde versie van de BIO, BIO 2.0, onder andere om de nieuwe verplichtingen die voortvloeien uit de richtlijn en de Cyberbeveiligingswet daarin te verankeren.
Inmiddels is ook een mapping gemaakt door de werkgroep BIO om aan te geven in hoeverre de NIS2-maatregelen zich verhouden tot de huidige BIO. Deze is hier te raadplegen.
Het wetsvoorstel voor de Cyberbeveiligingswet zoals die nu ter internetconsulatie is gelegd, is via deze link te raadplegen. Tot 1 juli bestaat de mogelijkheid om op het wetsvoorstel te reageren.
Hoewel het nog wel even kan duren voordat de Cyberbeveiligingswet van toepassing is, is het verstandig op tijd te beginnen met het treffen van maatregelen ter bescherming van de beveiliging en continuïteit van eigen werkprocessen.
