Waarom moeten woningcorporaties rekening houden met de NIS2-wetgeving?

Geplaatst door CorporatieMedia op
 

In de snel evoluerende digitale wereld is de veiligheid van onze netwerken en informatiesystemen van vitaal belang. Om deze veiligheid te waarborgen, heeft de Europese Unie de herziene Netwerk en Informatiesystemen Directive 2022/0383 geïntroduceerd, ook bekend als "NIS2". NIS2 brengt belangrijke wijzigingen met zich mee ten opzichte van de oorspronkelijke NIS-richtlijn en legt de nadruk op het versterken van de digitale veiligheid in Europa. NIS2 wordt in oktober 2024 van kracht en er zijn dus nog 12 maanden te gaan om te zorgen dat organisaties die hieronder vallen er klaar voor zijn!

Wat is NIS2?
NIS staat voor netwerk- en informatiesystemen en al in 2016 is de eerste NIS-richtlijn gepubliceerd. Deze was met name bedoeld voor grote bedrijven en instellingen die essentiële functies binnen de samenleving vervullen. Denk aan leveranciers voor energie, vervoer, infrastructuur voor banken en de financiële markt, gezondheid, drinkwater en digitale infrastructuur. Zij zijn al enkele jaren verplicht om maatregelen te nemen om de cyberweerbaarheid te verhogen. Het Europees Parlement heeft nu ingestemd met de invoering van een strengere versie hiervan in de vorm van nieuwe wetgeving (NIS2) die strengere eisen aan bedrijven, overheden en infrastructuur stelt op het gebied van cyberbeveiliging.

Voor wie geldt NIS2?
NIS2 verhoogt de cybersecurity-eisen voor aanzienlijk meer organisaties in heel Europa door ze aan te merken als ‘essentieel bedrijf’. Naar schatting gaat het om zo’n 160.000 organisaties over heel Europa. Iedereen die een essentiële dienst aan consumenten levert, valt onder de nieuwe wet en dient derhalve te voldoen aan hogere eisen. De grote vraag is wat er precies verstaan wordt onder ‘essentieel’. Naast de genoemde sectoren die al onder de huidige NIS-richtlijn vallen, worden nieuwe sectoren in het toepassingsgebied opgenomen, waaronder telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, industrieën, overheidsdiensten, platforms voor sociale netwerken, ruimtevaart, afvalbeheer en afvalwaterbeheer. Daarnaast zullen entiteiten van het openbaar bestuur van centrale overheden onder de NIS2-richtlijn vallen en kunnen de afzonderlijke Europese lidstaten zelf besluiten om dit uit te breiden naar soortgelijke entiteiten op regionaal en lokaal niveau. Om kleine organisaties te beschermen tegen de organisatorische last, en bijbehorende kosten, zijn zij vrijgesteld, tenzij zij een hoog veiligheidsrisicoprofiel hebben. Wat nu precies als ‘klein’ wordt aangemerkt, moet nog worden uitgewerkt.

Overigens is het van belang dat er wordt gekeken naar de plaats van de organisatie in de toevoerketen. NIS2 geldt namelijk voor de gehele toevoerketen van de ‘essentiële’ organisaties. Dit heeft tot gevolg dat ook bedrijven die zelf geen essentiële activiteiten ontplooien, maar wel zaken doen met partijen die dat wel doen, onder de nieuwe richtlijn vallen.

Hoe verhoudt een Europese richtlijn zich tot een nationale wet?
In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2018. Hoewel de NIS-richtlijn de cyberbeveiligingscapaciteiten van de EU-lidstaten sterk heeft vergroot, is de algemene consensus dat de huidige richtlijn onvoldoende antwoord geeft op de toenemende dreigingen die verband houden met de verdere digitalisering van de maatschappij, waaronder de sterke toename van cyberaanvallen, waardoor er nu een nieuwe richtlijn wordt geïntroduceerd. Omdat het om een richtlijn gaat, dient deze door de EU-lidstaten in hun nationale wetgeving te worden omgezet. De termijn hiervoor is 21 maanden na de datum van inwerkingtreding van de richtlijn, waardoor dit gepland staat voor oktober 2024.

NIS2 en woningcorporaties als overheidstaak
Woningcorporaties vallen naar de ‘letter van de NIS2’ NIET onder de NIS2-richtlijn. Deze richtlijn heeft een lijst met sectoren benoemd waarvoor de nieuwe wetgeving gaat gelden, in combinatie met de omvang van de organisatie op basis van omzet en/of aantal medewerkers. Dat woningcorporaties als sector niet genoemd worden, is echter geen zekerheid dat de NIS2-richtlijn niet van toepassing is. Hiervoor zijn twee aanwijzingen:

Woningcorporaties als overheidstaak
Nederland heeft op het gebied van sociale huisvesting een bijzondere opzet ten opzichte van de overige Europese lidstaten. In de overige landen wordt dit namelijk gezien als overheidstaak en zijn deze organisaties onderdeel van centrale of lokale overheid. Bij het vaststellen van de lijst met sectoren is er geen rekening gehouden met de opzet in Nederland waardoor sociale huisvesting gevangen is binnen de overkoepelende sectoren ‘overheid’. De discussie over het gelijktrekken van alle sectoren die in EU landen wel of niet als overheidstaak worden gezien (en dus onder de NIS2 vallen), is nog niet aan de orde; iedereen is nu nog veel te druk om de NIS2 te vertalen naar eigen wetgeving. Het is de verwachting dat pas na het omzetten van de richtlijn naar een daadwerkelijke wetgeving wordt gekeken welke sectoren en/of organisaties onder de nieuwe wetgeving gaan vallen. Het is hierbij hoogstwaarschijnlijk dat sociale huisvesting, en dus woningcorporaties, conform de originele geest en het gedachtengoed wel degelijk onder de nieuwe wetgeving zullen gaan vallen. 

Bijzondere persoonsgegevens
Dit is echter niet de enige reden waarom de kans groot is dat woningcorporaties onder de nieuwe NIS2-wetgeving gaan vallen. De zorgplicht die beschreven staat in de NIS2 is een overkoepelende reden. Juist binnen woningcorporaties gaan veel (bijzondere) persoonsgegevens om. Het is de verwachting dat de zorgplicht die in de NIS2 omschreven staat, de facto standaard wordt voor organisaties die met persoonsgegevens, en met name gevoelige, te maken krijgen. Juist omdat woningcorporaties als het ware tegen publieke taken aanschuren, gaan ze dus ook met deze zorgplicht en dus de NIS2, te maken krijgen.

Met deze duidelijke aanwijzingen dat woningcorporaties alsnog WEL degelijk rekening moeten houden dat zij ook onder de nieuwe wetgeving gaan vallen, zullen zij dus de komende tijd al aan de slag moeten om te zorgen dat het geen blinde vlek is in de bedrijfsstrategie. Dit begint met een onderzoek waar de organisatie nu staat en hoe de roadmap er uit ziet het komende jaar. Er is nog één jaar te gaan, maar het is essentieel om niet achter de feiten aan te lopen.

Wat zijn de vervolgstappen?
De introductie van NIS2 staat gepland voor oktober 2024. Dit lijkt nog ver weg, maar het is van belang om nu de eerste stappen te zetten en te kijken of jouw organisatie klaar is voor de NIS2-wetgeving en wat dit dan operationeel betekent voor jouw organisatie.  Een handig hulpmiddel hiervoor is om de basismaatregelen van het Nationaal Cyber Security Center (NCSC) te adopteren binnen de organisatie:

  • Zorg dat elke applicatie en elk systeem voldoende log-informatie genereert
  • Pas Multi Factor Authenticatie (MFA) toe waar nodig
  • Bepaal wie toegang heeft tot je data en diensten
  • Segmenteer netwerken
  • Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
  • Versleutel opslagmedia met gevoelige bedrijfsinformatie
  • Maak regelmatig back-ups van je systemen en test deze
  • Installeer software-updates

Event: Cyber Security Event 2023: NIS2 - Nog één jaar te gaan!
Ons jaarlijkse Event in de oktober Cyber Security-maand staat dit jaar in het teken van “NIS2 – nog één jaar te gaan!”. Op dinsdag 31 oktober geven we de handvatten om je organisatie voor te bereiden en een duidelijk beeld te krijgen wat er moet gebeuren.

Het programma is te vinden op de eventpagina https://www.claranet.nl/events/cyber-security-event-2023, waar ook de mogelijkheid is om in te schrijven.

Bron: Claranet, Foto: Claranet