Richtlijn (EU) 2022/2555, die bekend staat als NIS2, bevat een gezamenlijk regelgevingskader voor cyberbeveiliging gericht op het verbeteren van het niveau van cyberbeveiliging in de Europese Unie (EU), waarbij EU-lidstaten worden verplicht om de capaciteit op het gebied van cyberbeveiliging te versterken en maatregelen voor cyberbeveiligingsbeheer en -rapportage in cruciale sectoren worden ingevoerd, naast regels inzake samenwerking, het delen van informatie, toezicht en handhaving.
KERNPUNTEN
Cyberbeveiliging heeft betrekking op de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere mensen die getroffen worden door cyberdreigingen, te beschermen.
Kritieke sectoren
De richtlijn is in de eerste plaats van toepassing op middelgrote en grote entiteiten die actief zijn in de volgende, in bijlage I gedefinieerde zeer kritieke sectoren:
energie:
elektriciteit, daaronder productie-, distributie- en transmissiesystemen en oplaadpunten,
stadsverwarming en -koeling,
olie, daaronder productie-, opslag- en transmissiepijpleidingen,
gas, daaronder leverings-, distributie- en transmissiesystemen en opslag, en
waterstof;
vervoer per lucht, spoor, over water en over de weg;
infrastructuur voor banken en financiële markten zoals kredietinstellingen, exploitanten van handelsplatformen en centrale tegenpartijen;
gezondheidszorg, daaronder zorgaanbieders, fabrikanten van farmaceutische basisproducten en kritieke medische hulpmiddelen, en EU-referentielaboratoria;
drinkwater;
afvalwater.
digitale infrastructuur, daaronder aanbieders van datacenterdiensten, cloudcomputingdiensten, openbare elektronischecommunicatienetwerken en openbare elektronischecommunicatiediensten;
beheer van ICT-diensten (business-to-business);
ruimtevaart;
openbaar bestuur op centraal en regionaal niveau, met uitzondering van de rechterlijke macht, het parlement en de centrale banken, maar de richtlijn is niet van toepassing op overheidsinstanties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.
De richtlijn is ook van toepassing op andere kritieke sectoren, zoals gedefinieerd in bijlage II:
post- en koeriersdiensten;
afvalbeheer;
chemische vervaardiging, productie en distributie;
levensmiddelenproductie, -verwerking en -distributie;
vervaardiging, met name medische hulpmiddelen, computer-, elektronische en optische producten, bepaalde soorten elektrische apparatuur en machines, motorvoertuigen en andere vervoersmiddelen;
digitale aanbieders van onlinemarktplaatsen, zoekmachines en sociale netwerken; en
onderzoeksinstellingen.
Nationale strategie voor cyberbeveiliging
Elke lidstaat moet beschikken over een nationale strategie voor het bereiken en het in stand houden van een hoog niveau van cyberbeveiliging in de kritieke sectoren, waarbij moet worden ingegaan op:
een bestuurskader waarin de rol en verantwoordelijkheden van de relevante belanghebbenden op nationaal niveau worden verduidelijkt;
beleid dat gericht is op de veiligheid van toeleveringsketens;
beleid voor de beheersing van kwetsbaarheden;
beleid voor het bevorderen en ontwikkelen van onderwijs en opleiding op het gebied van cyberbeveiliging, en
maatregelen om het cyberbeveiligingsbewustzijn bij de burgers te verbeteren.
Lidstaten moeten uiterlijk op een lijst opstellen van essentiële en belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Ze evalueren die lijst regelmatig, en daarna ten minste om de twee jaar, en werken deze zo nodig bij. De Europese Commissie heeft richtsnoeren vastgesteld met betrekking tot de informatie die moet worden verzameld bij het opstellen van deze lijsten, samen met een model daarvoor.
De Commissie heeft ook richtsnoeren uitgegeven waarin de regels worden verduidelijkt over de relatie tussen Richtlijn (EU) 2022/2555 en huidige en toekomstige sectorspecifieke EU-rechtshandelingen betreffende maatregelen voor cyberbeveiligingsbeheer of vereisten voor de rapportage van incidenten. De bijlage bij de richtsnoeren bevat een niet-uitputtende lijst van sectorspecifieke rechtshandelingen die de Commissie beschouwt als een rechtshandeling die onder het toepassingsgebied van Artikel 4 van Richtlijn (EU) 2022/2555 valt.
Computer security incident response teams (CSIRT’s) verlenen technische bijstand aan entiteiten, onder meer door:
het monitoren en analyseren van cyberdreigingen, kwetsbaarheden en incidenten op nationaal niveau;
het geven van vroegtijdige waarschuwingen, meldingen, aankondigingen en informatie aan de betrokken entiteiten en andere belanghebbenden over cyberdreigingen, kwetsbaarheden en incidenten, indien mogelijk nagenoeg realtime;
het reageren op incidenten en waar nodig bijstand verlenen;
het verzamelen en analyseren van forensische gegevens en het verstrekken van dynamische risico- en incidentanalyses en situatiekennis op het gebied van cyberbeveiliging, en
het op verzoek aanbieden van een proactieve scan van de netwerk- en informatiesystemen voor de opsporing van kwetsbaarheden die een significant effect kunnen hebben.
Netwerk van CSIRT’s
Met de richtlijn wordt een netwerk van nationale CSIRT’s opgezet om snelle en doeltreffende operationele samenwerking te bevorderen.
Met de richtlijn wordt een samenwerkingsgroep opgericht om strategische samenwerking en informatie-uitwisseling te ondersteunen en te vergemakkelijken. De groep bestaat uit vertegenwoordigers van lidstaten, de Commissie en Enisa. In voorkomend geval kan de samenwerkingsgroep het Europees Parlement en vertegenwoordigers van relevante belanghebbenden uitnodigen om aan zijn werkzaamheden deel te nemen.
Het Europees netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) bestaat uit vertegenwoordigers van cybercrisisbeheerautoriteiten van de lidstaten en de Commissie in gevallen waarin een potentieel of aan de gang zijnd grootschalig incident met cyberbeveiliging een significant effect heeft of kan hebben op de sectoren die onder de richtlijn vallen. In andere gevallen neemt de Commissie als waarnemer deel aan de activiteiten van het netwerk.
Het netwerk ondersteunt het gecoördineerde beheer van grootschalige cyberbeveiligingsincidenten en -crises op operationeel niveau en zorgt voor regelmatige uitwisseling van informatie tussen lidstaten en EU-instellingen, -organen, -kantoren en -agentschappen.
Het netwerk heeft onder andere de volgende taken:
het coördineren van het beheer van grootschalige cyberbeveiligingsincidenten en -crises en het ondersteunen van besluitvorming op politiek niveau;
het verhogen van de paraatheid;
het ontwikkelen van een gedeeld situationeel bewustzijn, en
het beoordelen van de gevolgen en het effect van grootschalige cyberbeveiligingsincidenten en -crises en het voorstellen van mogelijke mitigatiemaatregelen.
Maatregelen voor het beheer van cyberbeveiligingsrisico’s
Entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen voor risicobeheer met betrekking tot cyberbeveiliging. De lijst van maatregelen omvat onder andere risicoanalyses en het veiligheidsbeleid van het informatiesysteem, de behandeling van incidenten, de bedrijfscontinuïteit, het herstel van rampen en het beheer van crises, de veiligheid van de toeleveringsketen, de behandeling en openbaarmaking van kwetsbaarheden, de fundamentele hygiënepraktijken, het beleid en de procedures met betrekking tot het gebruik van cryptografie (en, in voorkomend geval, versleuteling), de veiligheid van de menselijke hulpbronnen en het gebruik van multilaterale authenticatie- of continue authenticatieoplossingen. Deze maatregelen moeten zijn gebaseerd op een aanpak die alle risico's omvat.
Beheersorganen moeten deze maatregelen goedkeuren en toezien op de tenuitvoerlegging ervan en kunnen aansprakelijk worden gesteld voor inbreuken.
Rapportage
Entiteiten moeten hun CSIRT of relevante autoriteit in kennis stellen van elk incident dat:
bij de entiteit tot een ernstige operationele verstoring of een ernstig financieel verlies leidt of kan leiden;
anderen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
Voorts zal Enisa samen met de Commissie en de samenwerkingsgroep een tweejaarlijks verslag over de stand van cyberbeveiliging in de EU opstellen, dat ook aan het Parlement wordt voorgelegd.
Toezicht en handhaving
De richtlijn voorziet in voorzieningen en sancties om handhaving te waarborgen.
Collegiale toetsingen
Er worden collegiale toetsingen ingesteld om van gedeelde ervaringen te leren, het wederzijds vertrouwen te versterken, een hoog gezamenlijk niveau van cyberbeveiliging te bereiken en de capaciteit en het beleid van de lidstaten op het gebied van cyberbeveiliging die nodig zijn voor de tenuitvoerlegging van deze richtlijn te versterken. Deze toetsingen brengen fysieke of virtuele bezoeken ter plaatse en informatie-uitwisselingen buiten de locatie met zich mee. Deelname aan deze collegiale toetsingen is vrijwillig.
Uitvoeringsverordening (EU) 2024/2690 bevat regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van maatregelen voor risicobeheer op het gebied van cyberbeveiliging en specificeert verder de gevallen waarin een incident als significant wordt beschouwd met betrekking tot:
aanbieders van domeinnaamsystemen;
registers voor topleveldomeinnamen,
aanbieders van cloudcomputingdiensten,
aanbieders van datacentrumdiensten,
aanbieders van netwerken voor de levering van inhoud,
aanbieders van beheerde diensten,
aanbieders van beheerde beveiligingsdiensten,
aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten
verleners van vertrouwensdiensten.
Intrekking
Richtlijn (EU) 2022/2555 strekte tot intrekking van Richtlijn (EU) 2016/1148 (zie de samenvatting) van , en Uitvoeringsverordening (EU) 2024/2690 tot intrekking van Uitvoeringsverordening (EU) 2018/151 tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2016/1148.
VANAF WANNEER TREDEN DE REGELS IN WERKING?
De richtlijn moest op 17 oktober 2024 in nationale wetgeving zijn . De regels zijn van toepassing sinds .
Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (PB L 333 van , blz. 80-152).
Achtereenvolgende wijzigingen aan Richtlijn (EU) 2022/2555 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.
GERELATEERDE DOCUMENTEN
Uitvoeringsverordening (EU) 2024/2690 van de Commissie van tot vaststelling van regels voor de toepassing van Richtlijn (EU) 2022/2555 wat betreft de technische en methodologische vereisten van de maatregelen voor het beheer van cyberbeveiligingsrisico’s en nadere specificatie van de gevallen waarin een incident als significant wordt beschouwd met betrekking tot DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten (PB L, 2024/2690, van ).
Mededeling van de Commissie — Richtsnoeren van de Commissie over de toepassing van artikel 3, lid 4, van Richtlijn (EU) 2022/2555 (NIS 2-richtlijn) 2023/C 324/02 (PB L 324 van , blz. 2-7).
Mededeling van de Commissie — Richtsnoeren van de Commissie over de toepassing van artikel 4, leden 1 en 2, van Richtlijn (EU) 2022/2555 (NIS 2-richtlijn) 2023/C 328/02 (PB L 328 van , blz. 2-10).
Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PB L 333 van , blz. 1-79)
Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PB L 333 van , blz. 164-198).
Verordening (EU) 2021/696 van het Europees Parlement en de Raad van tot vaststelling van het ruimtevaartprogramma van de Unie, tot oprichting van het Agentschap van de Europese Unie voor het ruimtevaartprogramma en tot intrekking van de Verordeningen (EU) nr. 912/2010, (EU) nr. 1285/2013 en (EU) nr. 377/2014 en Besluit nr. 541/2014/EU (PB L 170 van , blz. 69-148).
Verordening (EU) nr. 2021/694 van het Europees Parlement en de Raad van tot oprichting van het programma Digitaal Europa en tot intrekking van Besluit (EU) 2015/2240 (PB L 166 van , blz. 1-34).
Verordening (EU) 2019/881 van het Europees Parlement en de Raad van inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening) (PB L 151 van , blz. 15-69).
Aanbeveling van de Commissie (EU) 2019/534 van — Cyberbeveiliging van 5G-netwerken (PB L 88 van , blz. 42-47)
Verordening (EU) 2018/1139 van het Europees Parlement en de Raad van inzake gemeenschappelijke regels op het gebied van burgerluchtvaart en tot oprichting van een Agentschap van de Europese Unie voor de veiligheid van de luchtvaart, en tot wijziging van de Verordeningen (EG) nr. 2111/2005, (EG) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 en de Richtlijnen 2014/30/EU en 2014/53/EU van het Europees Parlement en de Raad, en tot intrekking van de Verordeningen (EG) nr. 552/2004 en (EG) nr. 216/2008 van het Europees Parlement en de Raad en Verordening (EEG) nr. 3922/91 van de Raad (PB L 212 van , blz. 1-122).
Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van tot vaststelling van het Europees wetboek voor elektronische communicatie (herschikking) (PB L 321 van , blz. 36-214).
Uitvoeringsbesluit (EU) 2018/1993 van de Raad van inzake de geïntegreerde EU-regeling politieke crisisrespons (PB L 320 van , blz. 28-34)
Aanbeveling (EU) 2017/1584 van de Commissie van inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van , blz. 36-58)
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van , blz. 1-88).
Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van , blz. 73-114)
Richtlijn 2013/40/EU van het Europees Parlement en de Raad van over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PB L 218 van , blz. 8-14)
Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van betreffende een Uniemechanisme voor civiele bescherming (PB L 347 van , blz. 924-947)
Richtlijn 2011/93/EU van het Europees Parlement en de Raad van ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad (PB L 335 van , blz. 1-14)
Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002 (PB L 97 van , blz. 72-84)
Richtlijn 2002/58/EG van het Europees Parlement en de Raad van betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van , blz. 37-47)