NIS2 en DORA voor Pensioenfondsen
Inleiding
Het is belangrijk als fonds om te weten wat er op je afkomt maar vooral ook hoe je in control blijft. Ook al zijn de meeste IT-activiteiten uitbesteed, het bestuur is en blijft verantwoordelijk voor de cyberveiligheid van de deelnemers van het fonds.
Het gebruik van data is niet meer weg te denken en neemt alleen maar verder toe. In 2021 ontving de Autoriteit Persoonsgegevens 24.866 datalekmeldingen.
Het aantal meldingen van datalekken door cyberaanvallen is opnieuw fors gestegen ten opzichte van 2020. In 2021 waren er 88% meer van deze meldingen dan in 2020. Om het toenemende dataverkeer in goede banen te leiden, komt de EU met nieuwe wetgeving.
Een belangrijke achtergrond van deze wetgeving is om data beter beheersbaar en veiliger te maken door gemeenschappelijk maatregelen te nemen op het gebied van cyberbeveiliging[1] in de hele Europese Unie. Het parlement heeft op 10 november 2022 een persbericht gepubliceerd over de goedkeuring van de NIS2-richtlijn en de Digital Operational Resilience Act (DORA).
Doel van DORA
Het doel van DORA is de introductie van een standaard op het gebied van ICT-weerbaarheid en risicomanagement in de Europese bancaire sector. DORA eist naast strategische en procedurele maatregelen, ook aantoonbare operationele maatregelen op het gebied van digitale weerbaarheid en de bijbehorende verantwoordelijkheid. DORA is van toepassing op onder meer pensioenfondsen. De impact van DORA zal vooral voor de uitvoeringsorganisaties belangrijk zijn.
Impact DORA
DORA moet deelnemers aan het financiële systeem de nodige garanties geven door cyberaanvallen en andere risico’s te beperken. In deze verordening is bepaald dat bedrijven ervoor moeten zorgen dat zij stand kunnen houden tegen allerlei soorten ICT-onderbrekingen en dreigingen. Veel van de eisen uit DORA komen terug in bestaande richtlijnen, zoals het DNB-raamwerk voor informatiebeveiliging (IB) met de 58 maatregelen. Pensioenfondsen kunnen verder voortbouwen op de stappen die ze hebben gezet om te voldoen aan dit DNB-raamwerk.
Echter, DORA is zowel breder als specifieker en nog niet alle pensioenfondsen hebben het IB-raamwerk van DNB volledig geïmplementeerd. De exacte impact van DORA zal gaan blijken uit de nog onbekende lagere regelgeving (technische reguleringsnormen) en de invulling van het proportionaliteitsbeginsel. Als we kijken naar de huidige wetteksten kunnen we wel al een inschatting maken met betrekking tot de eisen die DORA stelt.
In DORA staan onder meer eisen ten aanzien van:
- ICT Risicomanagement
- ICT Incidentrapportage
- Digitale operationele veerkrachttesten
- Delen van informatie en inlichtingen
- ICT Risicobeheer van derden
DORA wil de versnippering in de risicobeheerkaders van de informatie- en communicatietechnologie (ICT) in de financiële sector aanpakken door een geharmoniseerd regelgevingskader voor digitale operationele weerbaarheid te creëren. DORA heeft ook een broertje: de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2).
Doel NIS2 richtlijn
Net zoals zijn voorganger NIS is het doel nog steeds gericht op het beschermen van kritieke infrastructuur en organisaties binnen de EU tegen cyberdreigingen en het bereiken van een hoog niveau van gemeenschappelijke beveiliging in de gehele EU. Maar de NIS2 richtlijn heeft een groter bereik dan zijn voorganger. In een separate mail van 16 december jl. hebben wij deze richtlijn al onder de aandacht gebracht en toelichting hierop gegeven.
Impact NIS2 richtlijn
Het toepassingsgebied van de richtlijn is uitgebreid naar andere sectoren. NIS2 geldt voor ondernemingen die actief zijn in of op het gebied van energie, vervoer, het bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie en digitale aanbieders. Daarnaast richt NIS2 zich niet langer alleen op grote ondernemingen, maar óók op het midden- en kleinbedrijf.
De richtlijn geldt bovendien ook voor toeleveranciers en ketenpartners voor en van bedrijven die actief zijn in deze sectoren, ongeacht de bedrijfsomvang. Nog een belangrijk verschil met NIS zijn de strengere toezichtmaatregelen en handhavingsvereisten, waaronder geharmoniseerde sancties in de hele EU. Zo kan een bestuurder van een onderneming straks verantwoordelijk worden gehouden voor aantoonbare nalatigheid op het gebied van cyberveiligheid. De hoogte van deze boetes is vergelijkbaar met de boetes die de Autoriteit persoonsgegevens oplegt bij overtredingen van de AVG.
Vanaf 2023 geldt de NIS2-Richtlijn voor alle bedrijven die essentiële diensten leveren.
Tot de organisaties die onder de NIS2-richtlijn vallen, behoren bedrijven en organisaties die diensten verlenen die essentieel zijn voor maatschappelijke en economische activiteiten.
De lijst met sectoren is uitgebreid in de NIS2 richtlijn. Wie of wat dat precies zijn, dat moet nog duidelijk worden uit de onderhandelingen. Daarnaast geldt dat per lidstaat hier nadere invulling aan mag worden gegeven.
Samengevat: pas als Nederland de richtlijn in wetgeving heeft omgezet, is echt duidelijk voor wie welke regels precies gelden. De lidstaten hebben vanaf de inwerkingtreding van de richtlijn 21 maanden de tijd om de bepalingen in hun nationale wetgeving op te nemen.
Deze NIS2 richtlijn versterkt en stroomlijnt de beveiligings- en rapportagevereisten voor organisaties door een risicobeheerbenadering op te leggen, die een minimumlijst biedt van basisbeveiligingselementen die moeten worden toegepast. Het voorstel bevat nauwkeurigere bepalingen over het proces voor het melden van incidenten, de inhoud van de meldingen en tijdschema’s.
DORA versus NIS2 richtlijn
Het verschil tussen de EU DORA verordening en NIS2 richtlijn is dat bij een richtlijn de EU het einddoel bepaalt, maar iedere lidstaat mag zelf bepalen hoe dit wordt vastgelegd in wetgeving. Bij de DORA verordening bepaalt de EU het einddoel en formulering. Dit moet door ieder EU-lid letterlijk worden overgenomen en op dezelfde manier worden geïmplementeerd.
Het goede nieuws is dat de Raad de tekst afgestemd heeft op de sectorspecifieke wetgeving, met name dus de verordening over digitale operationele weerbaarheid (DORA) voor de financiële sector en de richtlijn over de weerbaarheid van kritieke entiteiten (CER). Dat moet juridische duidelijkheid bieden en zorgen voor samenhang tussen NIS2 en de DORA en CER.
De Raad heeft ook de rapportageverplichtingen gestroomlijnd, om overkill aan rapportage en excessieve lasten voor de betrokken entiteiten te voorkomen.
Wat moet ik allemaal gaan regelen?
Wat je precies moet regelen, is niet altijd 100% duidelijk. Om een voorbeeld te noemen: in de AVG wordt gesproken over ‘passende maatregelen[2]’. Dat betekent in feite zelf een risicoanalyse uitvoeren en kijken naar over te nemen ‘best practices’.
Is NIS2 vergelijkbaar met de AVG?
De AVG is gericht op de privacy van EU-burgergegevens en hoe organisaties persoonlijke gegevens behandelen en verwerken. NIS2 is gericht op het beperken van cyberrisico’s met behulp van een risicobeheerbenadering. De AVG en NIS2 zijn echter wel met elkaar verbonden omdat inbreuken op de beveiliging kunnen leiden tot een risico van inbreuk op de privacy. Door te voldoen aan deze NIS 2-richtlijn voldoet een bedrijf dus ook aan een aantal gegevensbeschermingsvereisten van de AVG, bijvoorbeeld maatregelen voor gegevensversleuteling.
Een eerste stap die je als fonds nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Hoe kun je dat doen:
- Een risicobeoordeling uitvoeren en zorggedragen voor een adequaat beveiligingsbeleid voor informatiesystemen;
- Zorgdragen voor een crisisplan en in geval van incidenten met een cybercomponent afspraken vastleggen over escalatiecriteria;
- Zorgen voor de veiligheid van de toeleveringsketen, inclusief aanbieders van gegevensverwerkings- of opslagdiensten;
- Zorgen voor de beveiliging van het netwerk- en informatiesystemen, van de aanschaf tot de fase van ontwikkeling en onderhoud;
- Zorgen dat je beveiligingsbedreigingen tijdig kan detecteren en zo nodig analyseren zodat je tijdig kunt reageren voordat de ze de bedrijfsvoering schaden;
- Beschikken over een plan die de effectiviteit van cyberweerbaarheid beoordeeld, ook in de uitbestedingsketen;
- Gebruik maken van cryptografie en encryptie om gevoelige gegevens te coderen en te beschermen;
- Zorgen voor voldoende cyberbewustzijn.
Gelukkig zijn de meeste maatregelen niet nieuw en gaan deze hand in hand met de AVG-beveiligingsmaatregelen aangezien het goede stappen zijn om gegevens te beschermen.
Je ziet vaak dat als hackers het gemunt hebben op grote bedrijven, ze eerst kleine bedrijven aanvallen die in connectie staan met deze grote bedrijven. Zo wordt de keten ondermijnd en worden zowel grote als ook de kleine bedrijven geraakt.
Daarom is het belangrijk om samen te werken met de uitbestedingspartners om te bevorderen dat die een hoog beveiligingsniveau hebben, zodat een veilige toeleveringsketen wordt gegarandeerd.
[1] Bron: https://www.consilium.europa.eu/nl/policies/cybersecurity/
[2] Bron: https://data.consilium.europa.eu/doc/document/ST-14337-2021-INIT/en/pdf