Hoe verhoudt de Uitvoeringsverordening zich tot andere regelgeving?
De Uitvoeringsverordening (EU) 2024/2690 is een Europese verordening die direct specifieke eisen stelt aan digitale dienstverleners binnen de scope van de Cyberbeveiligingswet (en daarmee de NIS2-richtlijn). Net als het Cyberbeveiligingsbesluit vult deze verordening de algemene verplichtingen aan, maar dan op Europees niveau.
Een cruciaal verschil met NIS2 is dat deze verordening sinds oktober 2024 direct van toepassing is en niet in nationale wetgeving hoeft te worden vertaald. Waar Nederland met de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit nationale invulling heeft gegeven aan bepaalde aspecten van de NIS2-richtlijn, regelt deze Europese verordening de eisen voor digitale dienstverleners uniform voor heel Europa.
Het verschil tussen wet, besluit en uitvoeringsverordening werkt als volgt: de Cyberbeveiligingswet bepaalt de kernverplichtingen en algemene kaders; het Cyberbeveiligingsbesluit geeft nationale praktische invulling aan deze verplichtingen; de Uitvoeringsverordening (EU) 2024/2690 specificeert concrete Europese eisen voor specifieke categorieën digitale dienstverleners.
Voor wie geldt de Uitvoeringsverordening?
De verordening richt zich specifiek op wat "relevante entiteiten" worden noemt. Dit zijn digitale dienstverleners die een cruciale rol spelen in onze digitale infrastructuur. Het gaat om DNS-dienstverleners en registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, datacentrumbeheerders, aanbieders van content delivery networks, managed serviceproviders en managed security service providers, online marktplaatsen en zoekmachines, platforms voor sociale media, en verleners van vertrouwensdiensten.
Valt uw bedrijf onder de NIS2-richtlijn? Bijvoorbeeld omdat u een bepaalde omvang heeft of werkzaam bent in een aangewezen sector, dan moet u bovendien nagaan of u als digitale dienstverlener kwalificeert. Voor entiteiten die onder de NIS2-richtijn vallen en als digitale dienstverlener actief zijn, is de Uitvoeringsverordening een nadere invulling van de verplichtingen uit de NIS2-richtlijn. De verordening geeft concreet aan welke beveiligingsmaatregelen en rapportageverplichtingen van toepassing zijn op deze categorieën dienstverleners.
Welke verplichtingen gelden er op basis van de Uitvoeringsverordening?
Waar de NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet algemene verplichtingen formuleren zoals "passende en proportionele maatregelen voor het beheer van cyberbeveiligingsrisico's", maakt deze Uitvoeringsverordening het veel concreter.
Centraal staat dat entiteiten die onder de Uitvoeringsverordening vallen een passend en gedocumenteerd kader voor risicobeheer moeten opzetten. Dit houdt in dat zij periodiek risico’s in kaart moeten brengen, een risicobehandelingsplan moeten opstellen en deze maatregelen ook actief moeten monitoren.
De Uitvoeringsverordening legt verder de nadruk op incidentbeheer en monitoring. Ondernemingen moeten systemen inrichten om incidenten tijdig op te sporen en te melden. Wanneer bijvoorbeeld een ransomware-aanval leidt tot uitval van een cloudservice langer dan dertig minuten, geldt dit al als een “significant incident” (zie hierna). Dergelijke incidenten moeten binnen de gestelde termijnen worden gemeld.
Net als bij NIS2 is ook supply chain-beveiliging verplicht: entiteiten moeten in contracten met leveranciers specifieke beveiligingsclausules opnemen en toezicht houden op naleving daarvan. In de praktijk betekent dit dat u in IT- of cloudovereenkomsten van partijen waar u diensten van afneemt afspraken moet vastleggen over incidentmelding, patchbeheer en audits. Dit beleid en de contracten moeten regelmatig worden geëvalueerd en gemonitord. Daarnaast moeten entiteiten een actueel register bijhouden van hun leveranciers en de geleverde ICT-producten en -diensten.
Tot slot moeten bedrijven de basispraktijken voor cyberhygiëne en multifactorauthenticatie toepassen. Denk aan het verplicht stellen van MFA (Multi-Factor Authentication) bij toegang tot systemen, het segmenteren van netwerken, en het trainen van medewerkers in bijvoorbeeld phishingherkenning.
Wanneer is sprake van een “significant incident”?
Een belangrijk onderdeel van de Uitvoeringsverordening is de verduidelijking van wanneer een cyberincident als “significant” wordt beschouwd, en dus meldplichtig is onder de NIS2-richtlijn. De NIS2-richtlijn en de Cyberbeveiligingswet benoemen begrip “significant incident” wel, maar vrij algemeen en met veel ruimte voor interpretatie. De Uitvoeringsverordening maakt dit concreter door specifieke criteria te formuleren waaraan een incident moet voldoen om als significant te worden aangemerkt.
Een incident is significant is zodra het leidt tot ernstige operationele verstoring, financieel verlies of aantasting van de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens. Concreet is sprake van een significant incident wanneer bijvoorbeeld:
- het directe financiële verlies meer bedraagt dan € 500.000 of 5% van de jaaromzet;
- er een datadiefstal of bedrijfsgeheimenlek optreedt; of
- er een kwaadwillige en ongeoorloofde toegang tot systemen is die ernstige verstoringen kan veroorzaken.
Daarnaast gelden sectorspecifieke drempels. Zo wordt bij een cloudprovider een incident als significant beschouwd wanneer een dienst meer dan 30 minuten volledig onbeschikbaar is of meer dan één miljoen gebruikers in de EU treft.
De meldplicht vangt aan zodra een entiteit redelijkerwijs kan aannemen dat zich een significant incident heeft voorgedaan. Niet pas na volledig onderzoek. Ondernemingen moeten daarom beschikken over een duidelijk incident response-proces waarmee gebeurtenissen snel worden beoordeeld, geclassificeerd en binnen de wettelijke termijnen gemeld.
Wat betekent dit voor uw bedrijfsvoering?
De komst van de Uitvoeringsverordening vraagt van ondernemingen om hun cyberbeveiliging structureel op orde te brengen. Niet alleen op papier, maar ook in de praktijk. Dit betekent dat u nu al moet nagaan of uw organisatie binnen de reikwijdte van de NIS2-richtlijn valt, en vervolgens concreet moet toetsen of uw beleid en procedures voldoen aan de Europese eisen.
Onze praktische tips:
- Breng uw risico’s en processen in kaart. Voer periodiek een risicobeoordeling uit en documenteer uw risicobehandelingsplan;
- Actualiseer uw incident response-proces. Zorg dat meldingslijnen, verantwoordelijkheden en termijnen duidelijk zijn vastgelegd. Een incident is namelijk al snel “significant”;
- Versterk uw contractbeheer. Neem in uw leveranciers- en IT-contracten clausules op over beveiligingsverplichtingen, audits en meldplichten;
- Verhoog het bewustzijn van uw medewerkers. Train personeel in basis cyberhygiëne en verplicht multifactorauthenticatie.
Heeft u nog vragen?
Twijfelt u over wat de Uitvoeringsverordening precies betekent voor uw organisatie of hoe u aan de NIS2-verplichtingen kunt voldoen? Onze IT-rechtspecialisten helpen u graag bij het opstellen van een effectief cybersecuritybeleid, het inrichten van incidentprocedures en het beoordelen van leverancierscontracten. Zo weet u zeker dat uw organisatie juridisch compliant én digitaal weerbaar is.
CBW Loket: één loket, drie expertises
Daarnaast hebben wij onze expertise gebundeld met gerenommeerde spelers op het gebied van IT (KNNS) en Cybersecurity (ESET) onder het CBW Loket. Wilt u nu aan de slag met cybersecurity? Kijk dan op www.cbw-loket.nl voor meer informatie en praktische ondersteuning of neem vrijblijvend contact op met Niels van den Bogaard.
