Relevant voor klantcontact: in 2025 worden verschillende ‘digitale’ wetten ingevoerd. De eerste is de Digital Operational Resilience Act (DORA, ingangsdatum 17 januari), de tweede is de Cyberbeveiligingswet. Die laatste wet zal vermoedelijk in 2025 in werking treden. Ook van belang: de CRA en de Wbdwb.Â
Eerst de NIS2-regeling, die de grootste impact heeft. Op 17 oktober van dit jaar is NIS2 als de Europese richtlijn in werking getreden. NIS2 omvat nieuwe wetgeving over netwerk- en informatiebeveiliging. De Nederlandse overheid moet de Europese NIS2-regels vertalen naar nationale wetgeving. Hier is de overheid sinds januari 2023 mee bezig. Het grootste deel van de NIS2 regels komt terecht in de Cyberbeveiligingswet. Een ander deel van NIS2 komt terecht in de Wet weerbaarheid kritieke entiteiten (Wwke).
Vertraging, dus later in 2025
Op 16 oktober dit jaar – een dag voor de Europese inwerkingtreding – heeft minister Van Weel van Justitie en Veiligheid bekend gemaakt dat in het proces van vertaling naar de Cyberbeveiligingswet vertraging is ontstaan. De omzetting naar nationale wetgeving kost meer tijd dan bedacht en de minister hecht grote waarde aan het zorgvuldig verwerken van de circa 150 reacties die zijn binnengekomen tijdens de internetconsultatie. De nieuwe planning is dat de voorstellen voor de nieuwe Cyberbeveiligingswet naar verwachting in het eerste kwartaal van 2025 naar de Tweede Kamer zullen worden gestuurd. Het streven is dat beide wetten in het derde kwartaal van 2025 in werking treden. Tot die tijd gelden er voor organisaties geen verplichtingen vanuit de NIS2-richtlijn.
Wat was NIS2 ook alweer?
De nieuwe richtlijn gaat over de verbetering van de digitale weerbaarheid van Europese lidstaten. Er komt een zorgplicht (tot nemen van beveiligingsmaatregelen) en een meldplicht (van incidenten). Deze plichten gaan gelden voor alle organisaties die een dienst verlenen die belangrijk, essentieel of kritiek is voor het functioneren van de maatschappij of economie.
NIS2 is gericht op het voorkomen van significante cyber-incidenten. Dat zijn cyberincidenten die bijvoorbeeld leiden tot een verlies van een percentage van de omzet van een organisatie. Dat verschilt per land en per organisatie, reden waarom NIS2 per EU-lidstaat moet worden omgezet van Europese richtlijn naar lokale wet. Om te bepalen of je als organisatie onder NIS2 valt is er een NIS2 Zelfevaluatietool online gezet door de overheid.
Wat moet je doen voor NIS2?
Voor NIS2 moeten organisaties aan de slag met beleid voor onder meer risicoanalyses en beveiliging van informatiesystemen, incidentenbehandeling, back-upbeheer en noodvoorzieningenplannen voor bedrijfscontinuïteit en crisisbeheer. Ook moeten organisaties investeren in basisvoorzieningen voor cyberhygiëne en opleiding op het gebied van cyberbeveiliging. Daarnaast moeten organisaties beleid en procedures ontwikkelen voor het gebruik van cryptografie. En naast andere elementen vraagt NIS2 ook om aandacht voor de inzet van multifactor-authenticatie en het beveiligen van spraak-, video- en tekstcommunicatie.
In grote lijnen geldt dat organisaties die al volledig ISO27001 gecertificeerd zijn, niet veel anders hoeven te doen dan het in de organisatie borgen van de eisen rondom de meldplicht. Voor bedrijven die straks niet te laat willen zijn en zich nu willen voorbereiden heeft NL Digital een stappenplan opgesteld. Onder de meldplicht valt bijvoorbeeld dat organisaties beveiligingsincidenten binnen 24 uur moeten melden bij hun eigen toezichthouder (dit kan per sector verschillen) én hun CSIRT (Computer Security Incident Response Team).
Gaat in per 17 januari 2025: Digital Operational Resilience Act (DORA)
De Digital Operational Resilience Act (DORA) is bovengeschikt aan NIS2. DORA is vooral gericht op de IT-risicobeheersing van financiële organisaties: van banken, verzekeraars, tussenpersonen en aanbieders van crowdfundingdiensten tot aan beleggingsinstellingen en handelsplatformen. Het doel van DORA is om de digitale operationele veerkracht en weerbaarheid van financiële organisaties tegen cyberdreigingen te vergroten.
Vanuit het perspectief van klantcontact is vooral relevant dat deze organisaties moeten beschikken over ‘crisiscommunicatieplannen die het mogelijk maken ten minste ernstige ICT-gerelateerde incidenten of kwetsbaarheden op verantwoordelijke wijze bekend te maken aan cliënten en tegenpartijen en, in voorkomend geval, aan het publiek’. Net als bij NIS2 heeft DORA dus consequenties voor de frontoffice.
De betrokken ondernemingen hebben tot december 2024 de tijd om aan de DORA-regelgeving te voldoen. Vanaf 17 januari 2025 moeten de regels geïmplementeerd zijn in iedere organisatie. AFM en DNB houden naar verwachting gezamenlijk toezicht op de naleving van de DORA-verordening.
Cyber Resilience Act (CRA)
Vanaf 10 december 2024 is de Cyber Resilience Act (CRA) officieel in werking getreden. Deze wet is gericht op fabrikanten, distributeurs en importeurs van hardware en software die vanaf 11 december 2027 in de EU op de markt worden gebracht.
De CRA verplicht hen om digitale producten aan essentiële veiligheidseisen te laten voldoen. Ook moeten ze veiligheidsupdates aanbieden zodat producten veilig blijven. Zo kunnen consumenten én bedrijven erop rekenen dat producten die ze in de EU hebben gekocht digitaal veilig zijn.
De CRA stelt eisen aan de producten die aanbieders op de markt brengen, maar ook aan de processen die fabrikanten ingericht hebben om hun producten te ontwikkelen, ontwerpen, fabriceren en te onderhouden. Zo moet de leverancier onder meer risicoanalyses uitvoeren die de basis vormen voor een veilig ontwerp. Bij serieuze incidenten of actief uitgebuite kwetsbaarheden wordt de leverancier per 11 september 2026 verplicht om melding te maken bij de nationale CSIRT (in Nederland het Nationaal Cyber Security Centrum, NCSC) en de getroffen gebruikers te informeren en adviseren.
Met de inwerkingtreding van de CRA zijn nu tevens de officiële richtlijnen en tijdschema’s vastgesteld. De CRA is per 10 december ingegaan, maar fabrikanten hoeven niet onmiddellijk aan alle eisen moeten voldoen. In september 2026 zal een belangrijke mijlpaal bereikt worden met de introductie van een meldplicht, gevolgd door volledige naleving van de CRA in december 2027.
Wet bevordering digitale weerbaarheid bedrijven (Wbdwb)
Tot slot is ook in oktober dit jaar de wet bevordering digitale weerbaarheid bedrijven (Wbdwb) officieel in werking getreden. Met de wet is het mogelijk om vanuit de overheid dreigingsinformatie te delen die te herleiden is naar een specifiek bedrijf, zodat beschermende maatregelen snel kunnen worden genomen.
(Ziptone/redactie)