Een eerste analyse leert dat de consultatieversie van de CBW op hoofdlijnen de Europese Richtlijn volgt. Echter worden in de Europese richtlijnen in artikel 20, 21 en 24 beheersmaatregelen (aandachtsgebieden) voorgeschreven als verplicht. Deze ontbreken in de Nederlandse concept wettekst. Volgens de CBW volstaat een organisatie met het nemen van passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen, die zij voor haar werkzaamheden of voor het verlenen van haar diensten gebruikt, te beheersen. De CBW houdt wel optie open om sector specifieke maatregelen te verplichten in een AMVB.
”Consultatieversie Cyberbeveiligingswet (CBW, NIS2) stelt geen specifieke beheersmaatregelen verplicht om aan de zorgplicht te voldoen.
Op 21 mei 2024 is de concept Cyberbeveiligingswet gepubliceerd voor internetconsultatie. De internetconsultatie eindigt 1 juli 2024. Dit wetsvoorstel implementeert de Europese NIS2-richtlijn. De NIS2-richtlijn beoogt de cyberveiligheid in de Europese Unie naar een hoger gemeenschappelijk niveau te brengen door de digitale weerbaarheid van essentiële en belangrijke entiteiten in de lidstaten te versterken. Dit doel wordt in Nederland bereikt door, ter implementatie van deze richtlijn, in dit wetsvoorstel onder meer verplichtingen op te leggen aan die entiteiten, zoals het treffen van adequate beveiligingsmaatregelen en het melden van ICT-incidenten, evenals het verbeteren van de samenwerking tussen publieke en private partijen.
Hier zijn de belangrijkste punten uit de consultatieversie:
- Computer Security Incident Response Team (CSIRT): Er wordt een centrale autoriteit opgericht die verantwoordelijk is voor de coördinatie en het toezicht op de naleving van de cyberbeveiligingseisen. De CSIRT zal een belangrijke rol spelen in het monitoren van cyberdreigingen en het delen van informatie.
- Zorgplicht: Organisaties nemen passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen, die zij voor haar werkzaamheden of voor het verlenen van haar diensten gebruikt, te beheersen. Ook neemt zij deze maatregelen om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van haar diensten en voor andere diensten te beperken. De CBW schrijft in tegenstelling tot de Europese richtlijn (artikel 21) geen maatregelen voor. In de memorie van toelichting op NIS2 wordt wel een minimale set aan beheersmaatregelen voorgeschreven.
- Opleidingsplicht: Ieder lid van het bestuur van een essentiële of belangrijke entiteit beschikt over kennis en vaardigheden om risico’s op het gebied van informatiebeveiliging te kunnen identificeren, maatregelen te kunnen beoordelen en de gevolgen hiervoor voor de geleverde diensten te overzien. Binnen 2 jaar dient de kennis en vaardigheden aantoonbaar (bijvoorbeeld door middel van een certificaat) te zijn geborgd. Daarna houden de bestuursleden de kennis en vaardigheden aantoonbaar bij. De opleidingsplicht geldt voor alle leden van het bestuur.
”"Let op: Er is sprake van persoonlijke aansprakelijkheid van bestuurders en een verplichting tot scholing ten aanzien van informatiebeveiliging. Verschillende brancheorganisaties nemen al initiatieven om deze te verzorgen."
- Meldplicht beveiligingsincidenten: Organisaties die onder de wet vallen, worden verplicht om significante beveiligingsincidenten te melden aan de CSIRT. Dit helpt bij het snel identificeren en aanpakken van cyberdreigingen.
- Registratieplicht: Er komt een nationaal register van essentiële en belangrijke entiteiten. Betreffende organisaties hebben een registratieplicht.
- Samenwerking en informatie-uitwisseling: De wet bevordert de samenwerking en informatie-uitwisseling tussen landen, publieke en private sectoren om de cyberweerbaarheid te vergroten.
- Toezicht, sancties en handhaving: Er worden sancties en handhavingsmaatregelen geïntroduceerd voor organisaties die niet voldoen aan de wettelijke eisen. Dit begint met een waarschuwing en kan bij niet navolgen leiden tot bestuurlijke maatregelen of boetes.
Deze maatregelen zijn bedoeld om de digitale veiligheid van Nederland te verbeteren en het land beter te beschermen tegen cyberaanvallen en andere digitale dreigingen.
”ISO 27001 of NEN7510 vormt een belangrijk fundament om aan de zorgplicht uit NIS2 te voldoen.
Begin van dit jaar concludeerde wij al dat nuchterheid op zijn plaats is en dat voor zorginstellingen die nu reeds voldoen aan NEN7510 de impact van de Europese Richtlijn NIS2 naar verwachting goed te overzien is (zie artikel: Geen paniek! Wat moet u als zorgbestuurder in 2024 weten van NIS2, de nieuwe wetgeving informatiebeveiliging – WeDoTrust). Dat wordt met deze consultatieversie alleen maar verder bevestigd.
Wilt u hier verder over van gedachten wisselen, of meer informatie willen ontvangen over de impact van NIS 2 voor uw organisatie en u, schroom dan niet om contact op te nemen met Reinder Attema (06-11606950, reinderattema@wedotrust.nl) en/of Jan de Boer (06-51546750).
