Het huwelijk tussen de BIO en NIS2
Een belangrijke stap voorwaarts in de digitale veiligheid van onze overheid
Naar verwachting wordt de NIS2-richtlijn eind 2024 in Nederland van kracht. Het doel is de cyberbeveiliging van essentiële diensten in EU-lidstaten te verbeteren. Overheden moeten zorgen voor informatieveiligheid, waarbij BZK van plan is de BIO als wettelijk kader te gebruiken. Hoe zal de BIO (2.0) zich verhouden tot de verplichtingen die voortvloeien uit NIS2 voor gemeenten? Ontdek het in deze blog.
Wat NIS2 ook alweer is
Cybersecurity is van cruciaal belang voor de bescherming van onze samenleving. Daarom heeft de Europese Unie (EU) in 2016 de Directive on Security of Network and Information Systems (NIS Directive) ingevoerd. Hoewel deze Europese richtlijn, die in Nederlands is doorvertaald naar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), heeft bijgedragen aan meer samenhang op het gebied van netwerk- en informatiebeveiliging binnen de EU, blijft de noodzaak om onze cyberweerbaarheid te versterken onverminderd hoog. Met de voortdurende digitalisering en het toenemende aantal cyberaanvallen, is de NIS-richtlijn daarom herzien en verbeterd. In december 2022 is de definitieve versie van de NIS2 gepubliceerd. Het doel van deze Europese richtlijn, die uiterlijk op 17 oktober 2024 in nationale wetgeving moet zijn omgezet, is het verhogen van het niveau van cyberweerbaarheid in de EU.
NIS2 breidt de reikwijdte van de oorspronkelijke richtlijn uit door meer sectoren te omvatten, waaronder gemeenten. De nieuwe richtlijn legt wettelijke verplichtingen op aan deze sectoren, waarbij zij passende maatregelen moeten nemen om cyberbeveiligingsrisico’s te beheersen. Voor al deze organisaties geldt een wettelijke zorg- en meldplicht voor ernstige digitale dreigingen en incidenten (NIS2 richtlijn artikel 23.3). De Rijksinspectie Digitale Infrastructuur (RDI) gaat toezicht houden op het hele stelsel van informatieveiligheid voor de sector overheid en zal toezien op naleving van deze verplichtingen. Een belangrijke verandering is de invoering van preventief toezicht op de beveiliging van gemeentelijke ICT, naast het bestaande toezicht achteraf (zoals de Eenduidige Normatiek Single Information Audit, ENSIA).
Momenteel wordt NIS2 vertaald naar Nederlandse wetgeving en opgenomen in de reeds bestaande Wbni. In oktober 2024 treedt de nieuwe Wbni in werking, waarin op dat moment de BIO wettelijk verankerd zal zijn. De Wbni gaat dus een cruciale rol spelen bij het beschermen van kritieke infrastructuren en het waarborgen van de digitale veiligheid in Nederland.
Verplichtingen volgens de NIS2-richtlijn
De richtlijn omvat een:
Zorgplicht: De NIS2-richtlijn verplicht entiteiten om een risicobeoordeling uit te voeren en passende maatregelen te nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesystemen te beschermen.
Meldplicht: Incidenten die de verlening van essentiële diensten ernstig (kunnen) verstoren, moeten binnen 24 uur worden gemeld aan de toezichthouder. Cyberincidenten dienen ook gemeld te worden bij het Computer Security Incident Response Team (CSIRT) voor verdere hulp en bijstand. Factoren die een incident meldenswaardig maken, zijn onder andere het aantal getroffen personen, de duur van de verstoring en potentiële financiële verliezen.
Registratieplicht: Entiteiten die onder de NIS2-richtlijn vallen zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.
Toezicht: Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht. Een onafhankelijke toezichthouder zal de naleving van de richtlijn, inclusief de zorg- en meldplicht, controleren.
De rol van de BIO 2.0 in het kader van NIS2
en de wettelijke verankering van de BIO
De omzetting van NIS2 naar nationale wetgeving vereist nauwe samenwerking tussen verschillende ministeries, zoals BZK, J&V, I&W en VWS, en de sectoren die onder de richtlijn vallen, zoals lokale overheden. In dit stadium zijn er nog belangrijke vragen die beantwoord moeten worden, met name met betrekking tot de concrete uitwerking van de zorgplicht en het toezichtstelsel. Demissionair staatssecretaris Van Huffelen van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft de intentie om de eisen van NIS2 te integreren in de herziene Baseline Informatiebeveiliging Overheid (BIO 2.0) en deze wettelijk te verankeren.
De BIO is al geruime tijd een belangrijk instrument in Nederland voor de beveiliging van overheidsinformatie. In 2022 heeft BZK adviesbureau Berenschot gevraagd om een evaluatie uit te voeren, zodat een vernieuwde BIO 2.0 kan worden ontwikkeld. Deze evaluatie heeft ook geleid tot een onderzoek naar de manier waarop verschillende sectoren binnen grote (semi-)commerciële organisaties sturing geven aan informatieveiligheid. Daarnaast wil Van Huffelen bestaande toezichts- en verantwoordingsinstrumenten, zoals ENSIA behouden en versterken.
Met de komst van NIS2 is de geplande opleverdatum van de BIO 2.0 gewijzigd. In oktober 2024 treedt de Wbni in werking, waarin op dat moment de BIO 2.0 wettelijk verankerd zal zijn. De implementatie van de BIO 2.0 wordt van cruciaal belang voor gemeenten om te voldoen aan de groeiende verplichtingen die voortvloeien uit de NIS2-richtlijn. De BIO 2.0 zal fungeren als een essentieel normenkader waarmee gemeenten kunnen voldoen aan zowel de huidige als toekomstige eisen van NIS2. Het koppelen (mapping) van NIS2-maatregelen aan de BIO-normen, zoals verstrekt door de Rijksoverheid, is een essentiële tool om te bepalen welke aanpassingen nodig zijn om te voldoen aan de nieuwe richtlijn. Wanneer een gemeente voldoet aan de eisen van de BIO, zoals het zou moeten, hoeven zij zich geen grote zorgen te maken over NIS2. De NIS2 introduceert een beperkt aantal aanvullende verplichtingen en maatregelen.
Verschil BIO 2.0 en NIS2
Het is echter belangrijk op te merken dat er wel degelijk een verschil bestaat tussen wat de BIO en NIS2 van gemeenten verlangen. De BIO fungeert als verplichte ondergrens voor overheidsorganisaties en legt de nadruk op beveiligingsmaatregelen, terwijl NIS2 meer nadruk legt op zaken als risicomanagement en de werking van de informatieveiligheidsplannen van organisaties. Het simpelweg naleven van voorgeschreven maatregelen zal niet langer voldoende zijn; er zal moeten worden aangetoond dat het beleid daadwerkelijk effectief is. De focus ligt nu op opzet en bestaan, maar het wordt steeds belangrijker om de werking aantoonbaar te maken. Deze aantoonbaarheid is (relatief) nieuw. Daarnaast moeten de sancties die aan NIS2 zijn gekoppeld niet worden onderschat. Een nog nader te bepalen toezichthouder kan hoge boetes opleggen met een maximumbedrag van ten minste 10.000.000 EUR of ten minste 2 % van de totale wereldwijde jaaromzet, vergelijkbaar met de boetes die worden uitgedeeld voor de Algemene Verordening Gegevensbescherming (AVG). Bovendien kunnen onder de NIS2 bestuurders persoonlijk aansprakelijk worden gesteld.
De NIS2 mapping als gids
Bij de voorbereiding op de implementatie van de NIS2-richtlijn is soms onduidelijkheid over de verplichtingen met betrekking tot specifieke NIS2-maatregelen. Om deze reden heeft BZK in samenwerking met het kern-IBO, het overlegorgaan waarin de besluitvorming over de BIO plaatsvindt, een mapping ontwikkeld. Deze mapping biedt een overzicht van NIS2-maatregelen die relevant zijn voor de beveiligingsnorm NEN-EN-ISO/IEC 27002 (nl) en biedt duidelijkheid over welke maatregelen uit de NIS2 als verplicht, optioneel of situationeel worden beschouwd. Bovendien wordt de relatie tussen deze maatregelen en zowel de NEN-EN-ISO/IEC 27002 (nl) als de huidige BIO verhelderd.
De mapping van NIS2-maatregelen naar de BIO-normen is beschikbaar op de website van de digitale overheid en fungeert als een gedetailleerde gids voor gemeenten. Hiermee kunnen specifieke punten worden geïdentificeerd waar de huidige BIO nog niet volledig voldoet aan de eisen van NIS2, waardoor gemeenten precies kunnen zien waar extra inspanningen nodig zijn. Het is belangrijk op te merken dat de mapping niet bedoeld is om aan te geven in hoeverre de huidige BIO reeds voldoet aan de NIS2-maatregelen. Het is dus geen GAP-analyse. De werkgroep BIO onderzoekt momenteel of er aanvullende maatregelen uit de NIS2 moeten worden opgenomen in de BIO 2.0.
Hoe kunnen gemeenten zich voorbereiden op NIS2?
Gemeenten spelen een belangrijke rol bij de uitvoering van NIS2. Hun vermogen om de BIO en NIS2 effectief te integreren, heeft invloed op de digitale veiligheid in Nederland. Aangezien gemeenten reeds verplichtingen hebben met betrekking tot zorgplicht (BIO), meldplicht (Informatiebeveiligingsdienst, IBD) en toezicht (ENSIA), zal de impact van NIS2 voor gemeenten grotendeels afhangen van de mate waarin zij momenteel al voldoen aan de BIO. Daarom is het van belang dat alle gemeenten doorgaan met het naleven van bestaande kaders en verplichtingen voor informatiebeveiliging, zoals vastgelegd in de huidige BIO. Dit vormt het fundament voor het voldoen aan de eisen die voortkomen uit NIS2. Het is echter belangrijk op te merken dat NIS2 meer vraagt, zoals eerder beschreven. Bovendien is het belangrijk om dit proces zorgvuldig te documenteren, waardoor de effectieve werking aantoonbaar wordt. Dit stelt de gemeenteraad en de toekomstige centrale toezichthouder in staat om hun rol effectief te vervullen.
Hoewel er nog enige onduidelijkheid bestaat, kun je als gemeente dus nu al aan de slag om je voor te bereiden op NIS2. Als jouw gemeente al vorderingen maakt met de implementatie van de BIO, ben je al goed op weg om te voldoen aan de nieuwe richtlijn. Het is echter van belang om regelmatig de effectiviteit van jouw maatregelen te testen. Voer interne steekproeven uit binnen je organisatie, zodat eventuele problemen kunnen worden aangepakt voordat ze door een toezichthouder worden opgemerkt. Heb je hulp nodig bij de implementatie van NIS2-richtlijnen, kijk dan eens naar de veelgestelde vragen en uitgebreide bronnen op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Conclusie
Het grotendeels opnemen van de NIS2 verplichtingen in de BIO 2.0 is een belangrijke stap voorwaarts in de digitale veiligheid van Nederland. Met NIS2 als Europese leidraad en de BIO als nationale basis, zal de digitale weerbaarheid van Nederlandse gemeenten en de gehele overheid aanzienlijk toenemen. Dit huwelijk tussen de BIO en NIS2 belooft een langdurige, stabiele en veilige relatie te vormen, wat Nederland goed voorbereidt op de uitdagingen van een steeds complexer en geavanceerder digitaal landschap.
