image

Internetconsultatie gestart van wetsvoorstel dat NIS2-richtlijn implementeert

dinsdag 21 mei 2024, 13:52 door Redactie, 16 reacties

Het ministerie van Justitie en Veiligheid is gestart met de consultatie van het wetsvoorstel Cyberbeveiligingswet die de Europese NIS2-richtlijn implementeert. Gedurende zes weken kan het publiek op het voorstel reageren. De NIS2-richtlijn is een herziening van de richtlijn inzake netwerk- en informatiebeveiliging uit 2016 en wil meer duidelijkheid scheppen, de implementatie verbeteren en inspelen op ontwikkelingen op dit gebied.

De richtlijn dekt meer sectoren en activiteiten dan voorheen, stroomlijnt de rapporteringsverplichtingen en pakt de beveiliging van de toeleveringsketen aan. Zo moeten meer entiteiten en sectoren maatregelen nemen om zich tegen cyberaanvallen te beschermen. Het gaat dan om sectoren als energie, vervoer, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur en ruimtevaart. Ook wordt een kader vastgesteld voor betere samenwerking en informatie-uitwisseling tussen verschillende autoriteiten en lidstaten.

Om de Europese NIS2-richtlijn in Nederland te implementeren is het wetsvoorstel Cyberbeveiligingswet gemaakt. Het bevat onder meer de verplichting voor essentiële en belangrijke entiteiten om maatregelen te nemen om hun netwerk- en informatiesystemen te beschermen en om ict-incidenten te melden. Verder regelt dit wetsvoorstel het toezicht op de naleving van de verplichtingen in het wetsvoorstel. Ook is in dit wetsvoorstel de ondersteuning aan essentiële en belangrijke entiteiten geregeld. Via Internetconsultatie.nl kan er tot 1 juli op het voorstel worden gereageerd.

Reacties (16)
21-05-2024, 14:45 door Anoniem
Ik ben een ZZP ICT'er en heb diverse klanten.

Als diensten bied ik aan:

Domeinnaamregistratie via een SIDN partner.
DNS diensten op mijn eigen virtuele server.
Website hosting op diezelfde virtuele server.

Mijn klanten zijn: een bakker, schoenenwinkel, opticien, etc


Als ik kijk naar:

Pagina 4 van het wetsvoorstel:

Artikel 8 (essentiële entiteit van rechtswege)
c. DNS-dienstverleners;

Ben ik nu opeens als ZZP'er een essentiële entiteit?
21-05-2024, 15:05 door Anoniem
Dit zegt nis2 daarover: ‘entity providing domain name registration services’ means a registrar or an agent acting on behalf of registrars, such as a privacy or proxy registration service provider or reseller;
21-05-2024, 15:28 door Anoniem
Door Anoniem: Ik ben een ZZP ICT'er en heb diverse klanten.

Als diensten bied ik aan:

Domeinnaamregistratie via een SIDN partner.
DNS diensten op mijn eigen virtuele server.
Website hosting op diezelfde virtuele server.

Mijn klanten zijn: een bakker, schoenenwinkel, opticien, etc


Als ik kijk naar:

Pagina 4 van het wetsvoorstel:

Artikel 8 (essentiële entiteit van rechtswege)
c. DNS-dienstverleners;

Ben ik nu opeens als ZZP'er een essentiële entiteit?

Ik zou eerst even uitzoeken of NIS2 überhaupt relevant voor je is.
Gezien je opdrachtgevers, heb ik een sterk vermoeden dat je niet binnen de NIS2 doelgroep valt.
21-05-2024, 16:18 door Anoniem
Gezien je opdrachtgevers, heb ik een sterk vermoeden dat je niet binnen de NIS2 doelgroep valt.

Dat was ook de stelling van mijn vraag, mijn doelgroep is overduidelijk geen NIS2 groep.

Maar als ik door het hosten van 5 domeinnamen ineens als essentiële entiteit bestempeld wordt is dat best wel een flinke inspanning om overal aan te voldoen.
21-05-2024, 16:21 door Anoniem
Door Anoniem: Ik ben een ZZP ICT'er en heb diverse klanten.

Als diensten bied ik aan:

Domeinnaamregistratie via een SIDN partner.
DNS diensten op mijn eigen virtuele server.
Website hosting op diezelfde virtuele server.

Mijn klanten zijn: een bakker, schoenenwinkel, opticien, etc


Als ik kijk naar:

Pagina 4 van het wetsvoorstel:

Artikel 8 (essentiële entiteit van rechtswege)
c. DNS-dienstverleners;

Ben ik nu opeens als ZZP'er een essentiële entiteit?
In artikel 1 staat dat de definities uit de NIS2 richtlijn hiervoor gevolgd worden, en volgens de NIS2 richtlijn geldt als DNS Dienstverlener:

(20) ‘DNS service provider’ means an entity that provides:
(a) publicly available recursive domain name resolution services for internet end-users; or
(b) authoritative domain name resolution services for third-party use, with the exception of root name servers;
21-05-2024, 16:26 door Anoniem
Door Anoniem:
Door Anoniem: Ik ben een ZZP ICT'er en heb diverse klanten.

Als diensten bied ik aan:

Domeinnaamregistratie via een SIDN partner.
DNS diensten op mijn eigen virtuele server.
Website hosting op diezelfde virtuele server.

Mijn klanten zijn: een bakker, schoenenwinkel, opticien, etc


Als ik kijk naar:

Pagina 4 van het wetsvoorstel:

Artikel 8 (essentiële entiteit van rechtswege)
c. DNS-dienstverleners;

Ben ik nu opeens als ZZP'er een essentiële entiteit?

Ik zou eerst even uitzoeken of NIS2 überhaupt relevant voor je is.
Gezien je opdrachtgevers, heb ik een sterk vermoeden dat je niet binnen de NIS2 doelgroep valt.
Juist, maar dit concept wetsvoorstel dient NIS2 juist in de Nederlandse wetgeving te verankeren. Het huidige concept wetsvoorstel lijkt dus te "gretig" te zijn in haar toepassingsbereik.
21-05-2024, 16:34 door Anoniem
Door Anoniem: Ik ben een ZZP ICT'er en heb diverse klanten.

Als diensten bied ik aan:

Domeinnaamregistratie via een SIDN partner.
DNS diensten op mijn eigen virtuele server.
Website hosting op diezelfde virtuele server.

Mijn klanten zijn: een bakker, schoenenwinkel, opticien, etc


Als ik kijk naar:

Pagina 4 van het wetsvoorstel:

Artikel 8 (essentiële entiteit van rechtswege)
c. DNS-dienstverleners;

Ben ik nu opeens als ZZP'er een essentiële entiteit?

Er is een omzetcriterium van een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Ik weet niet hoeveel bakkers er klant zijn :)
21-05-2024, 17:00 door Anoniem
Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De
vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel
voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een
risicobeoordeling.

https://www.nctv.nl/documenten/brochures/2024/05/21/informatiebrochure-nis2-richtlijn
pag 6 van de pdf.
21-05-2024, 21:55 door Anoniem
Door Anoniem:
Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De
vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel
voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een
risicobeoordeling.

https://www.nctv.nl/documenten/brochures/2024/05/21/informatiebrochure-nis2-richtlijn
pag 6 van de pdf.

Voor bepaalde categorien bedrijven is de grootte / omzet niet belangrijk, eenieder is de klos.
22-05-2024, 09:11 door Anoniem
https://www.nctv.nl/documenten/brochures/2024/05/21/informatiebrochure-nis2-richtlijn
pag 6 van de pdf.

Op deze zelfde pagina staat ook:

Een uitzondering geldt voor de sector Overheid, aanbieders van openbare elektronische
communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners,
registers voor topleveldomeinnamen, DNS-dienstverleners
en verleners van domeinregistratiediensten. Al deze organisaties (zowel groot,
middelgroot als micro/klein), dus ongeacht hun omvang vallen direct onder de
Cyberbeveiligingswet.

Wat betekend dat ik dus aan NIS2 moet voldoen als ZZP'er met de lokale bakker als klant :-)
22-05-2024, 09:20 door Anoniem
Door Anoniem:
Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De
vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel
voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een
risicobeoordeling.

https://www.nctv.nl/documenten/brochures/2024/05/21/informatiebrochure-nis2-richtlijn
pag 6 van de pdf.

Net NCTV heeft naast de Internetconsultatie Cyberbeveiligingswet ook de Internetconsultatie van de Wet weerbaarheid kritieke entiteiten gelanceerd. Dit alles terug te vinden via onderstaande URL:
https://www.nctv.nl/actueel/nieuws/2024/05/21/internetconsultatie-cyberbeveiligingswet-en-wet-weerbaarheid-kritieke-entiteiten-van-start
22-05-2024, 12:19 door Anoniem
Nog een interessante stelling;

Als dochter onderneming van een Amerikaanse multinational moet wij in Nederland voldoen aan de NIS2 wetgeving.

Tot hoever reikt NIS2 m.b.t.de volgende zaken:
Office 365 (Amerikaanse tenant)
Domeinnaam .com gehost door Amerikaanse IT provider
IT dienstverlener in Amerika
Active Directory en andere IT systemen in Amerika

Van alle bovengenoemde IT systemen hebben wij in Nederland een afhankelijkheid.

Iemand die hier een idee over heeft?
22-05-2024, 15:36 door Anoniem
Door Anoniem: Nog een interessante stelling;

Als dochter onderneming van een Amerikaanse multinational moet wij in Nederland voldoen aan de NIS2 wetgeving.

Tot hoever reikt NIS2 m.b.t.de volgende zaken:
Office 365 (Amerikaanse tenant)
Domeinnaam .com gehost door Amerikaanse IT provider
IT dienstverlener in Amerika
Active Directory en andere IT systemen in Amerika

Van alle bovengenoemde IT systemen hebben wij in Nederland een afhankelijkheid.

Iemand die hier een idee over heeft?

Territoriale scope is hetzelfde als bij de AVG, jouw organisatie zal zich dus moeten conformeren aan de NIS2 zodra deze diensten / producten levert in de Europese unie, diezelfde scope geldt dus ook voor afgenomen diensten bij externen, maar daar ligt de verantwoordelijkheid voor het voldoen aan de NIS2 uiteraard bij de leverancier.
22-05-2024, 15:37 door Anoniem
Door Anoniem:
Door Anoniem: Ik ben een ZZP ICT'er en heb diverse klanten.

Als diensten bied ik aan:

Domeinnaamregistratie via een SIDN partner.
DNS diensten op mijn eigen virtuele server.
Website hosting op diezelfde virtuele server.

Mijn klanten zijn: een bakker, schoenenwinkel, opticien, etc


Als ik kijk naar:

Pagina 4 van het wetsvoorstel:

Artikel 8 (essentiële entiteit van rechtswege)
c. DNS-dienstverleners;

Ben ik nu opeens als ZZP'er een essentiële entiteit?

Er is een omzetcriterium van een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Ik weet niet hoeveel bakkers er klant zijn :)

Niet voor dit soort entiteiten. Zie wel memorie van toelichting:
Op domeinregistratiediensten is een aantal verplichtingen, waaronder de zorgplicht en de meldplicht, niet van toepassing. Voor hen gelden andere, specifieke verplichtingen. Indien een aanbieder van domeinnaamregistratiediensten tevens een belangrijke of essentiële entiteit is, gelden de bijhorende verplichtingen uiteraard wel.
23-05-2024, 09:32 door Anoniem
Door Anoniem: Ik ben een ZZP ICT'er en heb diverse klanten.

Als diensten bied ik aan:

Domeinnaamregistratie via een SIDN partner.
DNS diensten op mijn eigen virtuele server.
Website hosting op diezelfde virtuele server.

Mijn klanten zijn: een bakker, schoenenwinkel, opticien, etc


Als ik kijk naar:

Pagina 4 van het wetsvoorstel:

Artikel 8 (essentiële entiteit van rechtswege)
c. DNS-dienstverleners;

Ben ik nu opeens als ZZP'er een essentiële entiteit?

Als eenmanszaak val je niet onder de NIS2, maar je kan altijd nog even de zelfevaluatie invullen als je wilt.

https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/valt-uw-organisatie-onder-de-cer-en-nis2-richtlijnen#:~:text=minimaal%2050%20werknemers%20of%3B%20een%20jaaromzet%20en%20balanstotaal,aan%20te%20wijzen%20op%20basis%20van%20een%20risicobeoordeling.
24-05-2024, 08:06 door Anoniem
Door Anoniem:
Als eenmanszaak val je niet onder de NIS2, maar je kan altijd nog even de zelfevaluatie invullen als je wilt.

https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/valt-uw-organisatie-onder-de-cer-en-nis2-richtlijnen#:~:text=minimaal%2050%20werknemers%20of%3B%20een%20jaaromzet%20en%20balanstotaal,aan%20te%20wijzen%20op%20basis%20van%20een%20risicobeoordeling.

Niet geheel correct volgens mij.
Ja er is een criterium (en daar voldoet ie niet aan), maar er staat (ergens, sorry) ook dat het wel zo is dat het alsnog van toepassing kan zijn omdat je een leverancier bent van iemand die er wel aan moet voldoen en dat ze dus van jou kunnen eisen dat jij ook moet voldoen of dat ze opzoek moeten naar een andere leverancier.

Wij als bedrijf vallen er ook niet onder, maar klanten van ons wel en dus is het redelijk te verwachten dat wij hier ook wel het een en ander mee te maken krijgen. Dit een paar maanden geleden laten uitzoeken door ICT-Recht.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.