De Europese Raad geeft groen licht aan NIB2, een nieuwe Europese securityrichtlijn. Met het akkoord is het goedkeuringsproces rond. Lidstaten moeten tegen 2024 nieuwe securityregels invoeren voor organisaties, waaronder een bredere meldplicht van cyberaanvallen.
NIB2 is een vervolg op NIB1. Buiten het Nederlandse taalgebied gaat deze richtlijn door het leven als NIS1/NIS2. De Europese securityrichtlijn werd in 2016 door het Europees Parlement en de Europese Raad goedgekeurd. Na de goedkeuring van een Europese richtlijn krijgen lidstaten de taak om de nieuwe regels in nationale wetten te verwerken. Nederland verwerkte de regels van NIB1 in 2018 in de ‘wet beveiliging netwerk- en informatiesystemen’ (Wbni).
De Wbni is de reden dat sommige Nederlandse bedrijven wettelijk zijn verplicht om cyberaanvallen te melden en securitymaatregelen te nemen. Op dit moment gelden de regels uitsluitend voor aanbieders van essentiële diensten (AED’s), aanbieders van vitale diensten (AAVA’s) en digitale dienstverleners. Nederlandse ministeries bepalen welke bedrijven als AED of AAVA worden aangewezen. Digitale dienstverleners moeten zelf controleren of ze aan de criteria voldoen.
Voorbeelden van bedrijven die onder de Wbni vallen zijn cloud-, gas- en drinkwaterleveranciers. Dergelijke bedrijven hebben een meldplicht en een zorgplicht. De meldplicht verplicht organisaties om cyberincidenten te melden en de zorgplicht verplicht organisaties om securitymaatregelen te nemen. Met de komst van NIB2 krijgen veel meer Nederlandse bedrijven met de regels te maken.
Nieuwe verplichtingen
Een van de belangrijkste verschillen tussen NIB1 en NIB2 is dat lidstaten minder vrij zijn in het aanwijzen van bedrijven die zich aan de regels moeten houden. NIB2 maakt de meld- en zorgplicht verplicht voor alle midden- en grootbedrijven in vijftien sectoren, waaronder voeding, social media en datacenters, afvalverwerking, ruimtevaart en postbezorging.
Dit betekent dat bedrijven met een bepaalde grootte en sector altijd door de overheid aangewezen moeten worden. Op dit moment heeft de overheid meer keuzevrijheid.
CBS onderzocht in 2020 hoeveel Nederlandse bedrijven onder de nieuwe regels zouden vallen. Het totaal kwam uit op 4.355. Het uiteindelijke aantal kan afwijken, want tijdens het goedkeuringsproces van de afgelopen twee jaar is NIB2 herhaaldelijk aangepast.
NIB2 in Nederland
Nu de richtlijn officieel is goedgekeurd moeten Europese lidstaten de regels in nationale wetten verwerken. De deadline is begin 2024.
Nederland zet reeds stappen. Minister Micky Adriaansens (EZK) maakte in juli 2022 bekend dat multi-tenant datacenters en grote DNS-dienstverleners voortaan onder de Wbni vallen. De datacenterindustrie is een van de nieuwe sectoren waarvoor NIB2 geldt.
De regering zal voor elke nieuwe sector een wetswijziging of wet moeten doorvoeren. Hetzelfde geldt voor elke andere lidstaat, waaronder Zwitserland. Op 2 december diende de Zwitserse regering een wetsvoorstel in om een meldplicht voor kritieke infrastructuur-bedrijven te introduceren.