NIS 2 – de uitwerking van de technische verplichtingen van de AVG –

De NIS 2 en de AVG.

De AVG verplicht elke onderneming om passende technische en organisatorische maatregelen te nemen om te kunnen waarborgen en aantonen dat dat er met persoonsgegevens veilig wordt omgegaan. Welke organisatorische maatregelen er moesten worden genomen om aan de AVG te voldoen was wel duidelijk. Welke technische maatregelen er werden bedoeld niet. Die konden worden afgeleid uit de maatregelen uit de ICT zoals voor cyberbeveiliging.

Met de komst van de NIS wordt de AVG compleet gemaakt en alhoewel de NIS 2 niet is opgesteld met de AVG in gedachten werkt het toch zo uit. De NIS2-richtlijn is 16 januari 2023 in werking getreden en de opvolger van de eerste richtlijn. De reden voor de invoering van NIS2 is de cyberbeveiliging van bedrijven in de EU te verbeteren. De bedreigingen voor de netwerk- en informatiesystemen die worden gebruikt om essentiële diensten in belangrijke sectoren aan te bieden worden door de invoering van NIS2 beperkt en de continuïteit van dergelijke diensten beter gewaarborgd in het geval van een incident. De Nederlandse overheid is verwerkt de NIS 2 in de nationale wetgeving (NIB2). NIS 2 zal eind augustus maar in ieder geval per einde 2024 van kracht zal zijn.

NIS2 scherpt de verplichtingen aan om veilig met persoonsgegevens om te gaan en is van toepassing op bedrijven van een bepaalde omvang die werkzaam zijn door NIS 2 aangewezen sectoren. Daarmee is de werking beperkt maar in de praktijk gaat het voor nagenoeg elke onderneming en organisatie gelden in Europa.

NIS 2 geeft vergaande en strenge criteria voor alle netwerk- en informatiesystemen die worden gebruikt binnen ondernemingen en organisaties. In elke Europese lidstaat wordt voor zowel de private als publieke dienstverleners en leveranciers het verplicht gesteld dat er alleen nog mag worden gewerkt met ICT- producten , - diensten en -processen die aan strenge veiligheidseisen voldoen. Het doel is cybersecurity en daarmee de veiligheid en bescherming van de persoonsgegevens

Wie vallen er onder de NIS 2?

Het antwoord op deze vraag bestaat uit twee delen.
Wie vallen er volgens de richtlijn onder NIS 2 en wie vallen er praktijk allemaal onder.

Wie vallen er onder NIS 2 volgens de richtlijn?

NIS 2 geldt voor de publieke en private ondernemingen en organisaties die werkzaam zijn in een aangewezen sector en een bepaalde omvang hebben. Een publieke of private ondernemingen en organisaties die in één van deze aangewezen sectoren werkzaam is kan essentieel of belangrijk zijn. Dat hangt af van zowel de omvang en de sector.

Bedrijven zijn essentieel als ze groot zijn en werkzaam zijn in een van deze sectoren:
Energie, transport, bankwezen, Infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten, of ruimtevaart.

Bedrijven zijn groot als er minimaal 250 werknemers werkzaam zijn of de jaaromzet is meer dan € 50 miljoen en het balanstotaal meer dan € 43 miljoen.

Grote bedrijven zijn belangrijk als ze in één van de onderstaande sectoren werkzaam zijn :
digitale aanbieders, post en koerierdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek of vervaardiging/manufacturing. Ook Middelgrote Bedrijven die in een van bovenstaande sectoren werkzaam zijn, zijn belangrijk.

Bedrijven zijn middelgroot als er minimaal 50 werknemers zijn of jaaromzet en balanstotaal zijn meer dan 10 miljoen euro.

Het belangrijkste verschil tussen de twee is dat belangrijke entiteiten lagere financiële sancties zullen krijgen dan essentiële en onderworpen zijn aan een passief, reactief toezicht van de autoriteiten.

De verantwoordelijkheid voor het waarborgen van de beveiliging van netwerk- en informatiesystemen ligt voor een groot deel bij de essentiële en belangrijke publieke en private ondernemingen en organisaties. Het wordt bevorderd, verwacht, dat essentiële en belangrijke entiteiten gebruik maken van de geldend Europese en internationale normen en er kan worden geeist dat entiteiten gecertificeerde ICT-producten, ICT-diensten en ICT-processen gebruiken.

Naast de grote en middelgrote bedrijven vallen micro, kleine bedrijven en overheidsdiensten die in een één van onderstaande sectoren werkzaam zijn ook onder NIS2:
aanbieder van vertrouwensdiensten, registratie voor topleveldomeinnamen, verlener van domeinnaamregistratiediensten, aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten. De omvang van de micro, kleine bedrijven in deze sectoren niets uit. De EU heeft aangekondigd de lijst van sectoren nog voor oktober 2024 nog te gaan uitbreiden.

Dit beantwoord de vraag wie er onder NIS 2 vallen, maar wie vallen er praktijk allemaal onder?

Kleinere mkb’ers die niet in een aangewezen sector werkzaam zijn vallen niet onder NIS 2. Maar als die kleinere bedrijven samenwerken met bedrijven die wel onder de NIS 2 vallen is het niet moeilijk voor te stellen wat het resultaat is. Net als bij de AVG zullen aan de toeleveranciers van producten en diensten eisen worden gesteld omdat de NIS 2 eist dat essentiële en belangrijke entiteiten de algemene kwaliteit en weerbaarheid van de geleverde producten en diensten in hun afwegingen mee nemen.

En net zoals bij de AVG zal in het geval van sancties en aansprakelijkheids procedures tegen een bedrijf dat onder NIS2 valt de mate waarin die afweging is gemaakt worden meegenomen in de beoordeling van de sancties en aansprakelijkheids procedures.

Het resultaat is dat partijen die onder de NIS 2 valt in eerste instantie gaat worden aangesproken, maar vervolgens de toeleverende partijen aansprakelijk gaat stellen als deze de NIS 2 niet hebben gevolgd. Het resultaat is dat in de praktijk vrijwel alle bedrijven en organisaties, ook als ze niet onder NIS 2 vallen, er aan toch aan moeten voldoen en dit ook moeten kunnen aantonen aan de afnemers die wel onder NIS 2 vallen.