NIS-richtlijn: de juridische aspecten van cybersecurity

De digitalisering van onze samenleving brengt vele voordelen met zich mee, maar stelt ons ook bloot aan nieuwe risico's en uitdagingen. Een van de belangrijkste instrumenten van de Europese Unie om deze risico's te beheersen is de ‘Directive on Security of Network and Information Systems’ (ook wel de NIS Directive of de ‘NIS-richtlijn’ genoemd). In deze blog duiken we dieper in de juridische aspecten van de NIS-richtlijn en leggen we uit wat deze aspecten betekenen voor zowel ‘operators of essential services’ als ‘digital service providers’.

Wat is de NIS-richtlijn?

De NIS-richtlijn ((EU) 2016/1148) is Europese regelgeving die in 2016 werd aangenomen om een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen binnen de Unie te waarborgen.

Waarom is de NIS-richtlijn belangrijk?

De NIS-richtlijn is van groot belang omdat het zorgt voor een uniform beveiligingskader binnen de EU, wat belangrijk is voor het functioneren van de interne markt en voor de bescherming tegen cyberdreigingen. Het voorkomen van cyberdreigingen is op zichzelf essentieel omdat de impact ervan enorme gevolgen kan hebben, aangezien we steeds meer zaken digitaal regelen en ondernemen. De bescherming van burgers en bedrijven op dit gebied staat daarom hoog op de Europese agenda. Dat blijkt ook uit het feit dat de NIS-richtlijn binnenkort wordt herzien met de NIS2-richtlijn (daarover later meer).

OES en DSP's onder de NIS-richtlijn

De NIS-richtlijn kent twee categorieën van organisaties die aan bepaalde beveiligingseisen moeten voldoen: operators of essential services (‘OES’) en digital service providers (‘DSP's).

OES zijn organisaties die essentiële diensten leveren, zoals energie, water, transport, gezondheidszorg en financiële diensten. Deze diensten zijn van cruciaal belang voor de samenleving en een aanval hierop zou aanzienlijke economische en sociale gevolgen kunnen hebben.

DSP's zijn organisaties die diensten leveren op het gebied van cloud computing, online marktplaatsen en/of zoekmachines. Deze diensten worden steeds belangrijker in ons dagelijks leven en een aanval hierop zou een aanzienlijke impact kunnen hebben op de digitale economie.

De NIS-richtlijn legt aan zowel OES als DSP's een aantal verplichtingen op, op het gebied van:

• Beveiligingsmaatregelen: organisaties moeten passende beveiligingsmaatregelen nemen om geïdentificeerde risico's te beperken; en
• Incidentenrapportage: organisaties moeten ernstige incidenten melden aan de bevoegde nationale autoriteiten.

Het is belangrijk dat zowel OES als DSP's zich bewust zijn van hun juridische verplichtingen onder de NIS-richtlijn. Door deze verplichtingen na te leven kunnen organisaties hun netwerken en informatiesystemen beter beschermen tegen cyberaanvallen.

Wat zijn de belangrijkste juridische aspecten van de NIS-richtlijn?

De juridische verplichtingen voor NIS-organisaties

• Wat zijn de vereisten van de NIS-richtlijn voor NIS-organisaties?
  NIS-organisaties moeten voldoen aan een reeks vereisten, waaronder risicobeheer en het toepassen van beveiligingsmaatregelen afgestemd op geïdentificeerde risico's.

• Wat zijn de sancties voor het niet naleven van de NIS-Richtlijn?
  Niet-naleving van de NIS-richtlijn kan leiden tot forse boetes en andere sancties, afhankelijk van de nationale wetgeving van de EU-lidstaat waarin de organisatie actief is.

De samenloop met gegevensbescherming

• Hoe verhoudt de NIS-richtlijn zich tot andere gegevensbeschermingswetten, zoals de AVG?
  Hoewel ze afzonderlijk functioneren, vullen de NIS-richtlijn en de Algemene Verordening Gegevensbescherming (‘AVG’) elkaar aan. Beide wetten behandelen de bescherming van gegevens, maar waar de NIS-richtlijn zich in algemenere zin op de beveiliging van netwerken en informatiesystemen richt, focust de AVG zich specifiek op de bescherming van persoonsgegevens.

• Wat zijn de vereisten van de NIS-richtlijn voor NIS-organisaties op het gebied van gegevensbescherming?
  Net als bij de AVG moeten NIS-organisaties zorgvuldig omgaan met persoonsgegevens en deze adequaat beveiligen tegen ongeoorloofde toegang en datalekken.

De toekomst van de NIS-richtlijn

• Wat is de NIS2-richtlijn?
  De NIS2-Richtlijn is een voorstel voor een herziene versie van de NIS-richtlijn, met als doel het versterken en moderniseren van de cyberbeveiliging in de EU.

• Wat zijn de belangrijkste veranderingen die worden geïntroduceerd door de NIS2-richtlijn?
  De NIS2-richtlijn stelt voor om het toepassingsgebied uit te breiden, de sancties te verhogen, en nieuwe beveiligingseisen in te voeren.

Conclusie

De NIS-richtlijn is een belangrijk instrument van de EU om een veilige digitale ruimte te waarborgen. Het is van cruciaal belang dat zowel OES als DSP's zich bewust zijn van hun juridische verplichtingen onder deze richtlijn, vooral in het licht van de aankomende NIS2-richtlijn waarbij de verplichting tot gegevensbescherming naar een nog hoger niveau zal worden getild. Hierover in een volgende blog meer! En bij vragen kunt u altijd contact opnemen.

Jos van der Wijst