NIS2 en de rol van privacy professionals: van richtlijn naar realiteit

De NIS2-richtlijn gaat grote impact hebben op organisaties in tal van sectoren, van gemeenten en zorginstellingen tot IT-dienstverleners en nutsbedrijven. Waar de aandacht in eerste instantie vooral uitgaat naar cybersecurityteams en bestuurders, is het ook voor privacyprofessionals essentieel om NIS2 goed te begrijpen. De richtlijn raakt namelijk aan onderwerpen die nauw verweven zijn met gegevensbescherming: incidentrespons, ketenverantwoordelijkheid, governance en risicomanagement.

Bovendien geldt dat de verwerking van persoonsgegevens vrijwel nooit losstaat van IT-systemen en de continuïteit van dienstverlening. Juist daarom is het belangrijk dat functionarissen voor gegevensbescherming (FG’s) en privacy officers hun rol vinden in de voorbereiding op NIS2.

In een drieluik verkennen we de relevantie van NIS2 vanuit privacy perspectief:

• Deel 1 gaat in op de achtergrond van de richtlijn: wat NIS2 inhoudt, waarom deze is ontwikkeld en op welke organisaties de bepalingen van toepassing zijn. Daarnaast komt aan bod waarom NIS2 ook voor privacyprofessionals relevant is en welke raakvlakken er zijn met hun verantwoordelijkheden.
• In deel 2 staat de verhouding centraal tussen NIS2 en bestaande kaders zoals de AVG, ISO 27001, BIO, Archiefwet en Woo.
• In deel 3 volgt een vertaling van de richtlijn naar praktische handvatten voor implementatie, specifiek gericht op FG’s en privacyprofessionals.

Deel 1: waarom privacy professionals niet om NIS2 heen kunnen

Of je nu een trein neemt, een paspoort aanvraagt of een medicijn voorgeschreven krijgt, in bijna elk aspect van ons dagelijks leven speelt digitale infrastructuur een stille hoofdrol. Van ziekenhuizen tot drinkwaterbedrijven, van gemeentelijke loketten tot logistieke netwerken, we zijn afhankelijk van we zijn afhankelijk van systemen die 24/7 moeten functioneren, vaak met elkaar verbonden zijn en waarvan we pas bij een storing merken hoe essentieel ze zijn. Die afhankelijkheid maakt onze samenleving kwetsbaar. Cyberaanvallen zijn niet langer hypothetisch of incidenteel, maar structureel en professioneel. De Europese Unie zag de noodzaak om haar regelgeving aan te scherpen, en zo werd NIS2 geboren: de herziene richtlijn voor netwerk- en informatiebeveiliging.

Van NIS1 naar NIS2: een noodzakelijke evolutie

De oorspronkelijke NIS-richtlijn (Network and Information Security), oftewel NIS1, werd in 2016 ingevoerd als het eerste Europese kader voor cybersecurity. Het doel was duidelijk: de weerbaarheid van vitale infrastructuren versterken. In de praktijk bleek de richtlijn echter op meerdere punten tekort te schieten. Zo was de reikwijdte beperkt tot alleen vitale aanbieders, waardoor veel sectoren met een belangrijke maatschappelijke rol buiten beschouwing bleven. Bovendien kregen lidstaten veel ruimte voor eigen interpretatie, wat resulteerde in versnipperd toezicht en uiteenlopende nalevingspraktijken. Het gebrek aan duidelijke normen en de trage, onvolledige samenwerking en informatie-uitwisseling tussen lidstaten ondermijnden de effectiviteit van de richtlijn.

NIS2 is ontwikkeld om de digitale weerbaarheid van Europa structureel te verbeteren. De aanleiding was zowel inhoudelijk als politiek. Cyberdreigingen nemen toe in ernst, frequentie en complexiteit. Denk aan ransomware, supply chain attacks en aanvallen door statelijke actoren. Tegelijkertijd digitaliseert een groeiend aantal sectoren, waaronder sectoren die van oudsher weinig ervaring hebben met cybersecurity. Daarnaast wil Europa met NIS2 ook het gelijke speelveld beschermen en een betrouwbare digitale infrastructuur borgen als fundament van de interne markt. De evaluatie van NIS1 liet zien dat veel sectoren onbeschermd bleven, toezicht zwak was en lidstaten nauwelijks informatie deelden – voldoende reden voor Brussel om in te grijpen.NIS2 moest breder, scherper en afdwingbaarder worden.

Om de weerbaarheid van vitale infrastructuur in Europa te versterken, heeft de EU eind 2022 de Critical Entities Resilience Directive (CER-richtlijn) vastgesteld. In Nederland wordt deze vertaald naar de Wet weerbaarheid kritieke entiteiten (Wwke), die organisaties moet beschermen tegen verstoringen door onder meer sabotage, terreur of natuurrampen. Deze wet treedt gelijktijdig in werking met de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de NIS2-richtlijn voor digitale dreigingen. Samen zorgen beide wetten voor een integrale versterking van de weerbaarheid van essentiële diensten in Nederland.

Wanneer treedt NIS2 in werking?

NIS2 is op 16 januari 2023 in werking getreden op EU-niveau. Het is een richtlijn, geen verordening, en moet dus door lidstaten worden omgezet in nationale wetgeving. In Nederland gebeurt dat via de Cbw, die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen. De richtlijn beoogt de digitale weerbaarheid in de EU te verhogen, de regelgeving tussen lidstaten te harmoniseren en het toezicht en de samenwerking binnen Europa te versterken.

De Europese NIS2- en CER-richtlijnen zijn op 17 oktober 2024 in werking getreden. Nederland heeft echter de deadline voor nationale implementatie niet gehaald. De verwachting is dat de bijbehorende nationale wetten (de Cbw voor NIS2 en de Wwke voor CER) pas in het derde kwartaal van 2025 van kracht worden.

Tot die tijd blijft de Wbni van toepassing voor organisaties die daaronder vallen. Voor organisaties die onder de toekomstige Cbw zullen vallen, gelden op dit moment nog geen verplichtingen uit de NIS2-richtlijn. Wel kunnen bepaalde bepalingen uit de NIS2-richtlijn directe werking hebben, waardoor organisaties in sommige gevallen al bepaalde rechten hebben, zoals bijstand bij cyberincidenten door een Computer Security Incident Response Team (CSIRT).

Hoewel de nieuwe wetgeving nog niet van kracht is, is het raadzaam voor organisaties om zich alvast voor te bereiden op de aankomende verplichtingen en verwachtingen die voortvloeien uit de NIS2- en CER-richtlijnen.

Voor wie geldt NIS2?

NIS2 breidt het toepassingsbereik fors uit. Organisaties worden onderverdeeld in twee categorieën: essentiële- en belangrijke entiteiten.

• Essentiële entiteiten zijn organisaties waarvan de continuïteit cruciaal is voor de samenleving. Denk aan energiebedrijven, ziekenhuizen, waterbedrijven, maar ook lokale overheden zoals gemeenten en provincies.
• Belangrijke entiteiten zijn organisaties die minder kritiek zijn, maar wel een sleutelrol vervullen, zoals digitale dienstverleners (cloudaanbieders, DNS-providers), middelgrote nutsbedrijven en bepaalde leveranciers in vitale ketens.

In totaal noemt NIS2 achttien sectoren, waaronder energie, transport, gezondheidszorg, digitale infrastructuur, bankwezen, overheid, en afval- en drinkwaterbeheer. Uitzonderingen zijn er ook: organisaties die primair actief zijn in nationale veiligheid of defensie, en zeer kleine ondernemingen met minder dan 50 medewerkers of een jaaromzet onder de tien miljoen euro zijn in principe uitgesloten, tenzij ze een sleutelrol vervullen in een keten.

Kernverplichtingen: zorgplicht, meldplicht en toezicht

De richtlijn introduceert drie centrale verplichtingen:

• Zorgplicht: Organisaties moeten passende technische, operationele en organisatorische maatregelen nemen op basis van risicobeoordeling. Denk aan netwerksegmentatie, toegangsbeheer, encryptie, monitoring en incidentresponse.
• Meldplicht: Significante incidenten moeten binnen 24 uur gemeld worden aan de toezichthouder en het CSIRT. Daarna volgt binnen 72 uur nadere informatie en een eindrapport.
• Toezicht en handhaving: Lidstaten wijzen toezichthouders aan met vergaande bevoegdheden. In Nederland wordt dit o.a. de Rijksinspectie Digitale Infrastructuur (RDI).

Nieuwe accenten: ketenverantwoordelijkheid en bestuurdersaansprakelijkheid

Ten opzichte van NIS1 legt NIS2 meer nadruk op ketenverantwoordelijkheid. Organisaties moeten beveiligingseisen stellen aan hun toeleveranciers en ketenpartners. Daarnaast worden bestuurders expliciet medeverantwoordelijk gemaakt voor de naleving van de richtlijn. Dit betekent dat zij zich actief moeten laten informeren, moeten toezien op implementatie en trainingen moeten volgen. Daarnaast stimuleert de wet samenwerking binnen sectoren via sectorale CERTs (Computer Emergency Response Teams), ISACs (Information Sharing and Analysis Centers) en Europese netwerken, zodat kennis en dreigingsinformatie sneller en effectiever gedeeld kan worden.

Praktijkvoorbeeld: de gemeente en de gijzeling

Stel: een middelgrote gemeente wordt slachtoffer van een gerichte ransomware-aanval. Plotseling zijn de digitale loketdiensten niet meer bereikbaar: inwoners kunnen geen paspoort aanvragen, vergunningen worden niet meer verwerkt, en medewerkers kunnen niet bij hun bestanden of systemen. Al snel blijkt dat de back-ups onvolledig zijn of zelfs versleuteld. Bovendien duiken er aanwijzingen op dat ook persoonsgegevens buit zijn gemaakt, zoals kopieën van identiteitsbewijzen en adresgegevens van kwetsbare inwoners.

Deze situatie raakt meerdere wettelijke kaders en illustreert het belang van integrale weerbaarheid. Enerzijds staat de continuïteit van essentiële dienstverlening onder druk, een kernaspect van de NIS2-richtlijn en de aanstaande Cbw. Anderzijds is er mogelijk sprake van een datalek onder de Algemene verordening gegevensbescherming (AVG), met meldplichten richting de Autoriteit Persoonsgegevens (AP).

De gemeente staat onder grote druk. Volgens NIS2 moeten ernstige incidenten binnen 24 uur worden gemeld bij het Nationaal Cyber Security Centrum (NCSC) of een sectorale CERT. Tegelijkertijd geldt op grond van de AVG een meldplicht binnen 72 uur bij de Autoriteit Persoonsgegevens als er persoonsgegevens zijn gelekt. Deze meldingen moeten niet alleen tijdig, maar ook inhoudelijk adequaat zijn: wat is er gebeurd, welke impact heeft het, wat zijn de genomen maatregelen? Zonder goede voorbereiding, gecoördineerde processen en een heldere rolverdeling is dat in de praktijk vrijwel onmogelijk.

Juist dit voorbeeld maakt duidelijk waarom bijvoorbeeld een gemeente moet investeren in structurele weerbaarheid. Denk aan vooraf opgestelde draaiboeken voor cybercrisissituaties, een geoefend incidentresponsproces, en duidelijke afspraken tussen de Chief Information Security Officer (CISO), de Chief Information Officer (CIO), de Functionaris Gegevensbescherming (FG), de Privacy Officer (PO) en andere betrokkenen zoals de communicatieadviseur en de directie. In een acute situatie is er geen tijd om nog te overleggen wie waarvoor verantwoordelijk is.

NIS2 raakt ook jouw vak: raakvlakken met de AVG
Dat NIS2 ook voor privacyprofessionals bijzonder relevant is, blijkt uit het geschetste praktijkvoorbeeld. Zodra een incident zowel digitale systemen raakt als leidt tot mogelijke schending van persoonsgegevens, raken de werelden van informatieveiligheid en privacy elkaar direct. In dergelijke situaties is de betrokkenheid van privacyprofessionals onmisbaar. Zij beoordelen of er sprake is van een datalek, maken een inschatting van de risico’s voor betrokkenen, stellen meldingen aan de Autoriteit Persoonsgegevens op en adviseren over passende herstelmaatregelen.

Daarnaast levert de privacy officer een belangrijke bijdrage aan de voorbereiding op dit soort incidenten. Denk aan het formuleren van uitgangspunten voor dataminimalisatie, het adviseren over encryptie en toegangsbeperkingen, en het toetsen van back-upstrategieën vanuit het principe van privacy by design. Goede samenwerking met de CISO is hierbij cruciaal: technische beveiligingsmaatregelen en organisatorische waarborgen moeten op elkaar zijn afgestemd, net als de communicatie richting betrokkenen.

Door als privacy professional goed thuis te zijn in de kaders van NIS2, kun je proactief bijdragen aan een integrale, goed afgestemde incidentrespons. Dan kunnen gegevensbescherming, veiligheid en continuïteit elkaar versterken en kun je adequaat schakelen bij incidenten.

Conclusie: van richtlijn naar realiteit

NIS2 is geen papieren tijger. NIS2 stelt strengere eisen aan beveiliging, legt nadruk op ketenverantwoordelijkheid en verplicht bestuurders om persoonlijk betrokken te zijn – dat vraagt om actie op strategisch én operationeel niveau.Wie wacht tot de wet van kracht is, is eigenlijk al te laat. De wetsteksten liggen op tafel, toezichthouders communiceren steeds actiever over hun aanpak, en organisaties kunnen zich dus nu al gericht voorbereiden. Nu is het moment om te investeren in digitale veiligheid die niet alleen voldoet aan wetgeving, maar ook bijdraagt aan vertrouwen in dienstverlening.

In deel 2 van dit drieluik gaan we dieper in op de verhouding tussen NIS2 en bestaande kaders zoals de AVG, ISO 27001, de Baseline Informatiebeveiliging Overheid (BIO), de Archiefwet en de Wet open overheid (Woo). Wat zijn de overeenkomsten, waar wringt het, en hoe zorg je voor samenhang en praktische toepasbaarheid in je organisatie?