Categorieën
Technologie- & IT-Recht

Cyberbeveiliging in Duitsland: Implementatie van de NIS2-richtlijn in Duitsland

Implementatie van de NIS2-richtlijn in Duitsland: Er zijn nu wetsontwerpen over de implementatie van de NIS2-richtlijn in Duitsland, en er is een duidelijke lijn te herkennen. In Duitsland wordt de NIS2-richtlijn geïmplementeerd door de “Wet inzake de implementatie van de NIS-2-richtlijn en inzake de regeling van essentiële beginselen van informatiebeveiligingsbeheer in de federale overheid”. Deze staat ook bekend als de “Wet inzake de tenuitvoerlegging van de NIS-2-richtlijn en de versterking van de cyberveiligheid” of kortweg “NIS2UmsuCG”.

De kern van dit alles is de Duitse “BSI-wet”: deze wet was oorspronkelijk bedoeld om de bevoegdheden en maatregelen van het Federale Bureau voor Informatiebeveiliging (BSI) te regelen. Deze wet wordt echter steeds meer omgevormd tot een set cyberbeveiligingsregels. Dit was al te voorzien met de Duitse IT-beveiligingswet en is nu versterkt met de IT-beveiligingswet 2.0. IT-beveiliging in Duitsland – en Europa – wordt daarmee naar een geheel nieuw niveau getild en vooral de economie moet zich daar warm voor maken.

Noot over de huidige status van het wetgevingsproces: De NIS2-richtlijn moet eigenlijk half oktober zijn geïmplementeerd. Er zijn echter pas sinds mei 2024 wetsontwerpen beschikbaar, wat al twijfels oproept over de vraag of dit op tijd zal gebeuren. Met dit in gedachten is er een alinea toegevoegd over wat uitgestelde implementatie betekent. Het artikel is bijgewerkt om het tweede wetsontwerp weer te geven (status: 24 juni 2024).

Wet inzake de implementatie van NIS-2 en de versterking van de cyberveiligheid: uitbreiding van de BSI-wet

De BSI-wet is momenteel genummerd tot §15, hoewel sommige paragrafen meerdere letters hebben, zodat er in totaal iets meer normen zijn. Toch zegt het iets als je ziet dat de nummering in de toekomst verder gaat dan §60 van de BSIG – het is duidelijk dat een dergelijke reikwijdte ook invloed heeft op het dagelijks leven.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is een initiatief van de Europese Unie met als doel een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in alle lidstaten te garanderen. Het is de opvolger van de eerste NIS-richtlijn en introduceert belangrijke wijzigingen en uitbreidingen. De NIS2-richtlijn richt zich met name op kritieke sectoren en diensten die van fundamenteel belang zijn voor de samenleving en de economie.

Belangrijkste punten van de Duitse omzettingswet

De Duitse wet ter implementatie van de NIS2-richtlijn benadrukt in het bijzonder:

  1. Uitgebreid toepassingsgebied: De wet verwijst naar “bijzonder belangrijke faciliteiten” en “belangrijke faciliteiten”, met inbegrip van exploitanten van kritieke faciliteiten en federale administratieve faciliteiten. Dit betekent dat een groter aantal bedrijven en organisaties onder de nieuwe regelgeving zullen vallen.
  2. Versterkt risicobeheer: Bedrijven zijn verplicht om passende en effectieve maatregelen te implementeren om risico’s te minimaliseren en beveiligingsincidenten af te handelen (Sectie 30 BSIG-E). Dit omvat de ontwikkeling van risicobeheerplannen en de regelmatige herziening van beveiligingsmaatregelen.
  3. Meldingsplicht: Er is een uitgebreide meldingsplicht voor beveiligingsincidenten (Sectie 32 BSIG-E), die ervoor zorgt dat deze incidenten onmiddellijk worden gemeld en dienovereenkomstig worden verwerkt.
  4. Registratieverplichtingen: bijzonder belangrijke organisaties moeten zich registreren bij het Federale Bureau voor Informatiebeveiliging en relevante gegevens verstrekken (Sectie 33 BSIG-E).
De Duitse gespecialiseerde advocaat voor IT-recht Jens Ferner over de NIS-2-implementatie en de wet ter versterking van de cyberveiligheid

Micro-ondernemingen zijn (momenteel) erg bevoorrecht – alle anderen moeten oppassen. Op dit moment staat cyberveiligheid vaak “op de agenda”, maar de uitgaven zijn nog steeds gierig – dit zou zich binnenkort bitter kunnen wreken. En veel digitale bedrijfsmodellen zullen met deze wet tegen hun grenzen aanlopen. En terecht.

Categorisering van operators

Het wetsontwerp brengt de volgende categorisering met zich mee:

  • exploitant van kritieke voorzieningen: natuurlijke of rechtspersoon of een juridisch afhankelijke organisatorische eenheid van een lokale overheid die beslissende invloed uitoefent over een kritieke voorziening in aangewezen sectoren, rekening houdend met de juridische, economische en feitelijke omstandigheden.
  • Particulier belangrijke organisaties (Sectie 28 BSIG-E): Grote bedrijven in geselecteerde sectoren als ze behoren tot een specifiek type organisatie (Bijlage 1), evenals gekwalificeerde aanbieders van vertrouwensdiensten, top-level domeinnaam-registries of DNS-dienstverleners (ongeacht hun grootte); hieronder vallen ook middelgrote bedrijven die aanbieders zijn van telecommunicatiediensten (Sectie 3 Nr. 44 TKG) of openbaar toegankelijke telecommunicatienetwerken;
  • Belangrijke organisaties (§28 BSIG-E): middelgrote bedrijven in bepaalde sectoren als ze behoren tot een bepaald type organisatie (bijlage 1 of 2), dat waarschijnlijk breed moet worden opgevat, aangezien onder andere digitale infrastructuur, beheer van ICT-diensten (business-to-business) en aanbieders van digitale diensten expliciet worden genoemd.

Zoals altijd worden micro-ondernemers en micro-ondernemingen bevoorrecht; niettemin kan een uitbreiding van het toepassingsgebied worden waargenomen, middelgrote ondernemingen in de zin van de BSIG-E zijn in de range van 50 tot 249 werknemers, waarbij de omzet een bijkomend criterium is. Vooral op dit gebied zal het nodig zijn om goed op te letten, aangezien het toepassingsgebied naar verwachting aanzienlijk zal worden uitgebreid.

Impact op getroffen bedrijven

Voor bedrijven die in de categorieën “bijzonder belangrijke organisaties” en “belangrijke organisaties” vallen, leidt deze wet tot nieuwe verplichtingen en uitdagingen:

  1. Verhoogde documentatie-inspanning: Bedrijven moeten de naleving van wettelijke vereisten uitgebreid documenteren. Dit vereist zeker extra middelen en processen.
  2. Investeren in IT-beveiliging: Bedrijven zullen waarschijnlijk moeten investeren in hun IT-infrastructuur en beveiligingssystemen om aan de toegenomen eisen te voldoen.
  3. Regelmatige herzieningen en updates: Risicobeheerprocessen en veiligheidssystemen moeten regelmatig worden herzien en bijgewerkt om ervoor te zorgen dat ze effectief blijven en voldoen aan de wettelijke vereisten.

Systematisch overzicht

Deel 3 biedt bedrijven een eerste nuttig overzicht van categorisering, taken en verplichtingen. Het volgende is daarom een kort overzicht ter oriëntatie:

  • § 28 Bijzonder belangrijke voorzieningen en belangrijke voorzieningen, Definitie en categorisering: Bepaalt welke voorzieningen als bijzonder belangrijk en belangrijk worden beschouwd en aan welke veiligheidseisen ze moeten voldoen.
  • § 29 Faciliteiten van de federale overheid, Federale overheid: Geeft aan dat de wet ook van toepassing is op faciliteiten van de federale overheid en dat zij overeenkomstige beveiligingsmaatregelen moeten implementeren.
  • § 30 Risicobeheersmaatregelen van bijzonder belangrijke organisaties en belangrijke organisaties, Risicobeheer: vereist dat bijzonder belangrijke en belangrijke organisaties risicobeheersmaatregelen nemen om hun informatiebeveiliging te waarborgen.
  • § 31 Bijzondere eisen voor de risicobeheersmaatregelen van exploitanten van kritieke installaties, Kritieke installaties: Stelt specifieke eisen vast voor exploitanten van kritieke installaties om hun bijzondere belang voor de samenleving te beschermen.
  • § 32 Rapportageverplichtingen, Rapporteren beveiligingsincidenten: verplicht organisaties om beveiligingsincidenten te rapporteren aan de verantwoordelijke autoriteiten.
  • § 33 Registratieplicht, Registratie: vereist dat bepaalde organisaties zich registreren bij de bevoegde autoriteiten.
  • § 34 Speciale registratieverplichting voor bepaalde typen voorzieningen, Uitgebreide registratie: Speciale registratieverplichtingen voor specifieke typen voorzieningen die bijzondere risico’s met zich meebrengen.
  • § 35 Informatieplicht, Informatieplicht: verplicht organisaties om de autoriteiten regelmatig te informeren over veiligheidsmaatregelen en incidenten.
  • § 36 Feedback van het Federaal Bureau aan rapporterende organisaties, Feedback on reports: Het Federaal Bureau geeft feedback over de beveiligingsincidenten die door de organisaties zijn gerapporteerd.
  • § 37 Kennisgeving van vrijstelling, Uitzonderingen: Maakt het mogelijk om onder bepaalde voorwaarden kennisgeving van vrijstelling te doen.
  • § 38 Goedkeurings-, controle- en opleidingsverplichting voor het beheer van bijzonder belangrijke faciliteiten en belangrijke faciliteiten, Opleiding en controle: het beheer is verplicht om veiligheidsmaatregelen goed te keuren en te controleren en te zorgen voor passende opleiding.
  • § 39 Bewijsplicht voor exploitanten van kritieke installaties, Bewijs: Exploitanten van kritieke installaties moeten aantonen dat zij aan de veiligheidseisen voldoen.
  • § 40 Nationaal verbindingsbureau en centraal meld- en contactpunt voor bijzonder belangrijke en belangrijke voorzieningen, Centraal contactpunt: oprichting van een nationaal verbindingsbureau voor de communicatie en coördinatie van veiligheidskwesties.
  • § 41 Verbod op het gebruik van kritieke onderdelen, Verbod op kritieke onderdelen: maakt het mogelijk het gebruik van ICT-onderdelen die als onveilig worden beschouwd te verbieden.
  • § 42 Verzoek om informatie, Verplichting om informatie te verstrekken: verplicht organisaties om op verzoek informatie te verstrekken aan de autoriteiten.

Minimale zekerheid die moet worden geboden

Volgens artikel 30 van de Wet inzake de implementatie van NIS 2 en de versterking van de cyberveiligheid (die artikel 21 van de NIS 2-richtlijn implementeert) moeten bijzonder belangrijke en significante instellingen verschillende maatregelen nemen om de risico’s voor de informatiebeveiliging tot een minimum te beperken. Deze maatregelen zijn gericht op het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van hun gegevens en systemen. De intensiteit van de te nemen maatregelen is afhankelijk van het type instelling.

Risicomanagementmaatregelen omvatten in eerste instantie het identificeren van potentiële bedreigingen en kwetsbaarheden in je eigen IT-systemen en -processen. Dit kan worden gedaan door regelmatige beveiligingscontroles en kwetsbaarheidsanalyses. Vervolgens moeten passende beveiligingsmaatregelen worden genomen om deze kwetsbaarheden te elimineren en bedreigingen af te weren. Hieronder vallen technische maatregelen zoals de implementatie van firewalls, antivirussoftware en versleutelingstechnieken, maar ook organisatorische maatregelen zoals beveiligingsrichtlijnen en training voor medewerkers.

BereichNIS2UmsuCGNIS2-RichtlinieISO/IEC 27001
Risicomanagement§ 30 (1): Passende, evenredige en doeltreffende technische en organisatorische maatregelen.Artikel 21, lid 2, onder a): Risicoanalyse en beveiligingsbeleid voor informatiesystemen en netwerken.Paragraaf 6.1: Maatregelen voor het omgaan met risico’s en kansen.
Beveiligingsincidenten beheren§ 30, lid 2, nr. 2: Maatregelen bij veiligheidsincidenten.Artikel 21, lid 2, letter b: Regelingen voor de preventie en het beheer van veiligheidsincidenten.Sectie 16: Beheer van informatiebeveiligingsincidenten.
Continuatie van operaties en crisisbeheer§ 30 (2) Nr. 3: Onderhoud van operaties, back-upbeheer en crisisbeheer.Artikel 21, lid 2, onder c): Continuïteitsplannen en procedures voor crisisbeheer.Hoofdstuk 17: Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer.
Veiligheid van de toeleveringsketen§ 30 (2) Nr. 4: Beveiligingsmaatregelen voor de toeleveringsketen, inclusief veiligheidsgerelateerde aspecten van relaties.Artikel 21, lid 5: Maatregelen voor de beveiliging van de bevoorradingsketen.Paragraaf A.15: Relaties met leveranciers.
Training en bewustmaking§ 38 (3): Regelmatige training voor management en alle werknemers en § 30 (2) nr. 7: Basisprocedures op het gebied van cyberhygiëne en training op het gebied van beveiliging van informatietechnologie.Artikel 21, lid 2, onder e): opleiding en bewustmaking van werknemers.Punt 7.2.2: Bewustzijn, opleiding en competentie.
Technische en organisatorische maatregelen§ 30 (1): passende, evenredige en doeltreffende technische en organisatorische maatregelen nemen om verstoringen te voorkomen.Artikel 21, lid 2: Maatregelen ter voorkoming en beperking van veiligheidsincidenten.Paragraaf 6.2: Informatiebeveiligingsdoelstellingen en planning om deze te bereiken.
Cryptografie en versleuteling§ 30 (2) Nr. 8: Begrippen en procedures voor het gebruik van cryptografie en versleuteling.Niet expliciet genoemd.Paragraaf A.10: Cryptografische maatregelen.
Aanvaldetectie§ Paragraaf 31 (2): Gebruik systemen om aanvallen te detecteren.Niet expliciet genoemd.Punt A.12: Bedrijfsveiligheid (inclusief controlemaatregelen).
Multifactorauthenticatie§ 30 (2) nr. 10: Gebruik van oplossingen voor multifactorauthenticatie of continue authenticatie.Niet expliciet genoemd.Paragraaf A.9: Toegangscontrole.
Personeelsveiligheid§ 30 (2) nr. 9: Beveiliging van personeel, concepten voor toegangscontrole en voor het beheer van systemen.Niet expliciet genoemd.Punt A.7: Veiligheid van personeel.

Een ander belangrijk punt is het continu bewaken van IT-systemen om ongebruikelijke activiteiten in een vroeg stadium te herkennen en erop te reageren. Dit omvat het opzetten van een systeem voor het herkennen van aanvallen en het definiëren van noodplannen om snel en effectief te kunnen handelen in het geval van een beveiligingsincident.

Daarnaast zijn de betrokken organisaties verplicht om regelmatig rapporten over hun beveiligingsmaatregelen en eventuele incidenten in te dienen bij de bevoegde autoriteiten. Dit zorgt ervoor dat de beveiligingsmaatregelen altijd up-to-date zijn en indien nodig kunnen worden aangepast:

  1. Concepten voor risicoanalyse en IT-beveiliging: Elke organisatie moet gedetailleerde concepten ontwikkelen die beschrijven hoe risico’s voor IT-beveiliging worden geïdentificeerd en geanalyseerd. Dit omvat de beoordeling van bedreigingen en kwetsbaarheden en de definitie van maatregelen om risico’s te minimaliseren.
  2. Reactie op beveiligingsincidenten: Er moeten duidelijke procedures en strategieën zijn om te reageren op beveiligingsincidenten. Dit omvat incidentdetectie, onmiddellijke reactie en risicobeperkende maatregelen.
  3. Bedrijfsvoering in stand houden: Organisaties moeten ervoor zorgen dat hun diensten kunnen blijven werken, zelfs in het geval van een IT-beveiligingsincident. Dit omvat maatregelen zoals back-upbeheer en disaster recovery om gegevensverlies en downtime te minimaliseren.
  4. Beveiliging toeleveringsketen: Er moeten maatregelen worden genomen om de beveiliging van de hele toeleveringsketen te garanderen. Dit omvat contractuele overeenkomsten met leveranciers en dienstverleners, die ook aan hoge veiligheidsnormen moeten voldoen.
  5. Beveiligingsmaatregelen tijdens aanschaf, ontwikkeling en onderhoud: Bij de aanschaf, ontwikkeling en het onderhoud van IT-systemen moet rekening worden gehouden met beveiligingsaspecten. Dit omvat ook het beheer en de openbaarmaking van kwetsbaarheden om beveiligingsleemten in een vroeg stadium te herkennen en te dichten.
  6. Evaluatie van de effectiviteit van beveiligingsmaatregelen: bestaande beveiligingsmaatregelen moeten regelmatig worden herzien en geëvalueerd om de effectiviteit ervan te waarborgen en voortdurend te verbeteren.
  7. Basis cyberhygiëne en training: Basis cyberhygiëneprocedures, zoals regelmatige software-updates (patchbeheer) en veilige wachtwoordpraktijken, moeten worden geïmplementeerd. Training voor werknemers is ook nodig om het bewustzijn van IT-beveiliging te vergroten.
  8. Concepten en procedures voor cryptografie en encryptie: Het gebruik van cryptografie en encryptie moet worden gereguleerd om de vertrouwelijkheid en integriteit van gegevens te beschermen.
  9. Personeelsbeveiliging en toegangscontrole: Er moeten concepten worden ontwikkeld voor personeelsbeveiliging en voor toegangscontrole tot IT-systemen en -faciliteiten. Dit omvat ook maatregelen ter bescherming tegen bedreigingen van binnenuit.
  10. Multifactorauthenticatie en veilige communicatie: Er moet gebruik worden gemaakt van multifactorauthenticatie of oplossingen voor continue authenticatie. Daarnaast moeten er binnen de organisatie veilige communicatiesystemen voor spraak, video en tekst aanwezig zijn om de veiligheid van interne communicatie te waarborgen.

Cyberbeveiliging en NIS2: aansprakelijkheid van het management

Aansprakelijkheid van het management

Ten eerste bepaalt artikel 38, lid 1, BSIG-E dat bestuurders van bijzonder belangrijke instellingen en belangrijke bedrijven verplicht zijn om de risicobeheersmaatregelen die deze instellingen nemen (zie hierboven, artikel 30) op het gebied van cyberveiligheid goed te keuren en toezicht te houden op de uitvoering ervan. Het bestuursorgaan blijft eindverantwoordelijk, ook als er hulppersonen bij betrokken zijn. Directeuren die hun plichten in dit opzicht schenden, zijn aansprakelijk jegens de instelling voor de geleden schade, zie artikel 38 lid 2 BSIG-E. Volgens de toelichting bij de wet omvat schade zowel regresvorderingen als boetes!

Het tweede lid is en blijft spannend: tot de tweede versie van het conceptwetsvoorstel werd hier een “scherpe formulering” beoogd, die inhield dat een afstand van vorderingen tot schadevergoeding door de instelling net zo ineffectief was als een algehele schikking van dergelijke vorderingen door de instelling. Dit betekende dat elk plichtsverzuim direct zou leiden tot een persoonlijke, niet voor afstand vatbare aansprakelijkheid van de directeur die niet kon worden afgewikkeld. Met het tweede wetsvoorstel (behandelstatus: 24 juni 2024) behoort dit tot het verleden. Het is nu van toepassing:

Bestuursorganen die hun verplichtingen op grond van lid 1 niet nakomen, zijn jegens hun instelling aansprakelijk voor alle verwijtbaar veroorzaakte schade in overeenstemming met de bepalingen van het vennootschapsrecht dat van toepassing is op de rechtsvorm van de instelling. Ingevolge deze wet zijn zij slechts aansprakelijk indien de op de instelling toepasselijke bepalingen van vennootschapsrecht geen aansprakelijkheidsbepaling overeenkomstig zin 1 bevatten.

De traditionele regels zijn nu van toepassing, hoewel de laatste zin voor mij onbegrijpelijk is, aangezien de omzettingswet wel verplichtingen voor raden van bestuur bevat – maar geen aansprakelijkheidsregels. De toelichting bij het ontwerp gaat hier ook niet op in, dus ik ben op dit moment enigszins verbijsterd. Maar zoals ik al heb uitgelegd met betrekking tot de bestaande juridische situatie, is er al een aansprakelijkheidssituatie. En zelfs als op het eerste gezicht kwijtscheldingen en schikkingen nu weer mogelijk zijn, ontstaan ook hier problemen – want als er economisch onbegrijpelijke schikkingen worden getroffen ten nadele van de onderneming, bestaat de mogelijkheid van strafrechtelijke aansprakelijkheid.

De beslissing om de aansprakelijkheid, die aanvankelijk buitensporig werd uitgebreid, gewoon niet meer te regelen zal zich bitter wreken; de advieskosten zullen exploderen door de ontoereikende formulering: Het is waar dat er schikkingen mogelijk zijn voor schade tussen het bedrijf en zijn management. Aangezien er echter geen regels zijn opgesteld, moet in elk afzonderlijk geval worden bekeken in hoeverre een schikking of afstand van aansprakelijkheid denkbaar is om strafrechtelijke aansprakelijkheid te voorkomen. De verwijzing naar aansprakelijkheid onder de BSI-G voor bedrijven die niet op een andere manier gereguleerd zijn, is ook zeer misleidend – uiteindelijk zal elke bedrijfsleiding aansprakelijk zijn als ze haar verplichtingen onder de BSIG niet nakomt en daardoor schade veroorzaakt.

Uiteindelijk is het vervelend dat het ministerie zo overdreven heeft gebukt voor de brancheorganisaties: Als er geen dwangmiddelen worden ingesteld, zal cybersecurity in dit land zich op dezelfde trage manier blijven ontwikkelen als voorheen, zelfs met de Implementatiewet NIS2.

Aansprakelijkheid van het management voor inbreuken op de IT-beveiliging
Schending van de zorgplicht als bestuurslid van een naamloze vennootschap

Beheerscontrole

Als het management van een bedrijf orders van het Federale Bureau voor Informatiebeveiliging (BSI) niet opvolgt, heeft het BSI verschillende maatregelen tot zijn beschikking om ervoor te zorgen dat de beveiligingseisen worden nageleefd.

Ten eerste kan de BSI, in overleg met de bevoegde toezichthoudende autoriteit, bindende instructies uitvaardigen om beveiligingstekortkomingen te verhelpen of incidenten te voorkomen. Deze instructies moeten door de betrokken organisatie binnen een vastgestelde termijn worden uitgevoerd. Als er dreigend gevaar is, kan de BSI ook dergelijke maatregelen bevelen zonder voorafgaand overleg met de toezichthoudende autoriteit.

Als de bedrijfsleiding deze instructies niet opvolgt, kan de BSI de verantwoordelijke toezichthoudende autoriteit op de hoogte stellen. Deze heeft dan de mogelijkheid om drastischere maatregelen te nemen, die ook nieuw zijn in deze vorm:

  1. Opschorting van diensten: De toezichthoudende autoriteit kan de vergunning voor bepaalde of alle diensten van de betreffende instelling tijdelijk opschorten.
  2. Verbod op bestuurstaken (nu §63 VI): De toezichthoudende autoriteit kan natuurlijke personen met een leidinggevende functie, zoals directie- of bestuursleden, verbieden hun functie uit te oefenen.
  3. De eerder geplande benoeming van een “toezichthoudende ambtenaar” (Artikel 64 (9) BSI-G E3) is nu uit het wetsontwerp verdwenen.

Deze maatregelen blijven dan van kracht totdat de betreffende organisatie heeft voldaan aan de instructies van het BSI en de bijbehorende beveiligingsmaatregelen heeft geïmplementeerd.

Aansprakelijkheid voor IT-beveiliging

Bedrijfsmanagement zonder gegevensbescherming en cyberveiligheid werkt niet – punt uit. En nu nog niet, maar in de nabije toekomst zal het bestuurders en directieleden die hun plichten niet naar behoren vervullen, duur komen te staan – persoonlijk! aansprakelijkheid kan zich nu al voordoen.

Domeingegevens

Met §§51 e.v. BSIG-E iets nieuws, een nieuwe “schat aan gegevens” voor onderzoekers – althans in deze vorm: Om bij te dragen aan de veiligheid, stabiliteit en robuustheid van het domeinnaamsysteem zijn Top Level Domain Name Registries en Domain Name Registry Service Providers verplicht om nauwkeurige en volledige registratiegegevens over domeinnamen in hun eigen database te verzamelen.

Deze database bevat de informatie die nodig is om de houders van de domeinnamen en de contactpunten die de domeinnamen binnen het TLD beheren te identificeren en contact met hen op te nemen. Volgens de wet zijn dit ten minste naam, e-mailadres en telefoonnummer, maar nog geen postadres.

Documentatie-eisen voor de NIS2-implementatie

Documentatieverplichtingen en de daaruit voortvloeiende consequenties zijn bedoeld om ervoor te zorgen dat bedrijven proactief de cyberbeveiliging verbeteren en effectief en transparant reageren in het geval van beveiligingsincidenten. Tegelijkertijd is het natuurlijk een effectieve manier voor de toezichthoudende autoriteit om te controleren wat er is geïmplementeerd door middel van eenvoudige inspecties.

Bedrijven die hun documentatieverplichtingen niet nakomen, kunnen aanzienlijke boetes opgelegd krijgen. De hoogte van de boete hangt af van de ernst van de overtreding en kan hoog oplopen. Bij ernstige overtredingen kan de BSI ook – zoals hierboven beschreven – de autorisatie voor bepaalde of alle diensten van een bedrijf opschorten. Dit kan zelfs gaan tot het verbieden van managementtaken voor verantwoordelijke personen. In extreme gevallen kunnen bedrijven zelfs hun bedrijfsvergunning kwijtraken als ze herhaaldelijk documentatieverplichtingen schenden en de vereiste beveiligingsmaatregelen niet implementeren. Tot slot is het management persoonlijk verantwoordelijk voor de implementatie van en het toezicht op veiligheidsmaatregelen. Onvoldoende documentatie kan leiden tot aansprakelijkheidsclaims tegen het management (zie hierboven).

Risicobeheer

Bedrijven moeten maatregelen documenteren om risico’s te minimaliseren, waaronder het uitvoeren van risicoanalyses en het implementeren van IT-beveiligingsconcepten. Hieronder vallen ook maatregelen om de bedrijfsvoering in stand te houden en crisisbeheer.

Veiligheidsincidenten

Bedrijven zijn verplicht om beveiligingsincidenten te documenteren, de genomen reacties en de geleerde lessen vast te leggen. Dit omvat ook communicatie met de relevante autoriteiten.

Rapportageverplichtingen

Alle incidenten die van invloed kunnen zijn op de informatiebeveiliging moeten worden gedocumenteerd en gerapporteerd. De documentatie moet gedetailleerd zijn en alle relevante informatie over het incident bevatten.

Registratie en bewijzen

Bedrijven moeten hun veiligheidsmaatregelen en de effectiviteit ervan regelmatig evalueren en documenteren. Dit bewijs moet op verzoek aan de bevoegde autoriteiten worden overlegd.

Werknemerstraining

Bedrijven zijn verplicht om informatiebeveiligingstrainingen uit te voeren en te documenteren. Dit houdt ook in dat werknemers regelmatig bewust moeten worden gemaakt van risico’s zoals phishing en social engineering.

Veiligheid van de toeleveringsketen

Contracten en overeenkomsten met leveranciers en dienstverleners moeten worden gedocumenteerd om ervoor te zorgen dat ook zij voldoen aan hoge veiligheidsnormen.

Wat betekent een uitgestelde implementatie van de NIS2-richtlijn?

Als de NIS 2-richtlijn (EU) 2022/2555 niet op tijd wordt omgezet in Duits nationaal recht, zal dit verschillende juridische gevolgen hebben. Zelfs dan is directe toepasbaarheid op bedrijven uitdrukkelijk uitgesloten! Als u soms iets anders leest, is dat te wijten aan een misverstand: wanneer een EU-richtlijn de staat of zijn autoriteiten verplicht om iets te doen, kan dit toch gevolgen hebben als de richtlijn niet in nationaal recht wordt omgezet. Dit geldt echter niet voor de economie en de burgers.

Bovendien zou de Europese Commissie (EU-Commissie) een inbreukprocedure inleiden tegen de Bondsrepubliek Duitsland. Een dergelijke procedure verloopt in verschillende fasen:

Inbreukprocedures

  1. Ingebrekestelling: De EU-Commissie stuurt Duitsland een ingebrekestelling waarin de Commissie op de inbreuk wijst en een termijn vaststelt waarbinnen de tekortkomingen moeten worden verholpen.
  2. Met redenen omkleed advies: Als Duitsland niet binnen de gestelde termijn handelt, volgt er een met redenen omkleed advies. In dit formele verzoek wordt gedetailleerd uiteengezet hoe de EU-Commissie tegen de inbreuk aankijkt en wordt opnieuw een termijn voor rectificatie vastgesteld.
  3. Besluit en instellen van actie: Als Duitsland blijft verzuimen te reageren, kan de EU-Commissie besluiten actie te ondernemen en de zaak voorleggen aan het Europese Hof van Justitie (HvJ). Tegelijkertijd kan de Commissie vragen om financiële sancties tegen Duitsland.

Maar: de meeste inbreukprocedures worden stopgezet voordat ze worden doorverwezen naar het HvJEU. In 2022 werd ongeveer 96% van alle procedures in Europa stopgezet voordat ze werden doorverwezen naar het Hof van Justitie.

Mogelijke sancties?

Als de richtlijn nog steeds niet wordt geïmplementeerd, kan het Hof van Justitie op verzoek van de Commissie financiële sancties opleggen aan Duitsland. Deze sancties kunnen zowel een eenmalige boete omvatten als dwangsommen voor elke dag dat de richtlijn niet wordt geïmplementeerd.

Conclusie

Het was al te laat, en nu komt de hamer: decennialang zijn de kosten van “digitalisering” in Duitsland verdoezeld door ongepaste gierigheid als het gaat om IT-beveiliging en gegevensbescherming.

Dit laatste is al aangepakt door de GDPR, zij het halfslachtig gehandhaafd in de praktijk – nu komt daar cyberveiligheid bij. Persoonlijke aansprakelijkheid zal leiden tot een heroverweging van de kant van velen, evenals een enorme stijging van de kosten van traditionele digitale oplossingen. Directeuren en bestuursleden komen tijd tekort: de wet zal tijd blijven kosten, maar dat geldt ook voor de implementatie ervan in het bedrijf. Kortom, getroffen bedrijven moeten zich hierop voorbereiden:

  1. :
    • Bewijs van naleving van een minimumniveau van IT-beveiliging: Sectie 34 in combinatie met secties 28 en 30 BSIG-E
    • Rapportage van ernstige beveiligingsincidenten: Sectie 31 in combinatie met Sectie 28 BSIG-E
  2. Risicobeheersmaatregelen:
    • Er moeten passende, proportionele en effectieve technische en organisatorische maatregelen worden genomen om verstoringen te voorkomen en de impact van beveiligingsincidenten te minimaliseren – en deze moeten worden gedocumenteerd: artikel 30, lid 1 en 2 BSIG-E.
  3. Goedkeurings-, controle- en trainingsplicht voor het management:
    • De raad van bestuur is verplicht om de risicobeheersmaatregelen goed te keuren en toezicht te houden op de uitvoering ervan: Sectie 38 BSIG-E
  4. Speciale eisen voor operators van kritieke systemen:
    • Gebruik van systemen voor aanvalsdetectie: Sectie 31 (2) BSIG-E
  5. Rapportageverplichtingen:
    • Verplichting om beveiligingsincidenten te melden: artikel 32 BSIG-E
  6. Registratieplicht:
    • Speciale registratieverplichting voor bepaalde typen faciliteiten: Sectie 34 BSIG-E
  7. Instructieverplichtingen:
    • In het geval van een belangrijk veiligheidsincident kan het Federaal Bureau instructies geven om de ontvangers van zijn diensten te informeren over het incident: Artikel 35 BSIG-E
  8. Toezichts- en handhavingsmaatregelen:
    • Het bondsbureau kan audits, inspecties of certificeringen laten uitvoeren om te controleren of aan de eisen wordt voldaan: § 64 BSIG-E
Advocaat Jens Ferner
Laatste berichten van Advocaat Jens Ferner (alles zien)

Door Advocaat Jens Ferner

Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.

Let op: Voor bedrijven zijn wij landelijk actief, voor consumenten uitsluitend in NRW voor strafverdediging + OWI's!