SPECIAL CYBERRISICO’S: Hoe verhoudt DORA zich tot NIS2?
Blog
Digitalisering heeft het dagelijks leven ingrijpend veranderd. Informatie- en communicatietechnologie (‘ICT’) is tegenwoordig verweven in verschillende alledaagse bezigheden en inmiddels onmisbaar. Gedacht kan bijvoorbeeld worden aan het verrichten van betalingen of het communiceren met overheidsinstanties. Naast alle pluspunten die de digitalisering heeft teweeggebracht, heeft deze ook geleid tot nieuwe risico’s en kwetsbaarheden. Geregeld lezen we over nieuwe cyberincidenten of verstoringen van ICT-systemen. Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid (‘NCTV’) is het niet zozeer de vraag of bedrijven worden aangevallen, maar wanneer. Deze aanvallen en verstoringen van de ICT-systemen kunnen behoorlijke gevolgen hebben. Met name door de onderlinge verwevenheid en connectiviteit van ICT-systemen.
De toenemende cyberrisico’s en de potentiële impact van cyberincidenten, hebben bij de Europese Unie (‘EU’) geleid tot de behoefte om cyberbeveiliging binnen de EU te versterken en de weerbaarheid tegen cyberincidenten te vergroten. De Netwerk- en Informatiebeveiligingsrichtlijn (‘NIS1’) is daar een eerste poging toe geweest. Omdat NIS1 en de implementaties daarvan, waaronder de Wet beveiliging netwerk- en informatiesystemen (‘Wbni’), niet bleken te voldoen aan de huidige behoeften, is de EU gekomen met een aantal nieuwe regelingen gericht op cybersecurity, waaronder de Verordening betreffende Digitale Operationele Weerbaarheid (‘DORA’) en de tweede Netwerk- en Informatiebeveiligingsrichtlijn (‘NIS2’). Beide regelingen zijn op 16 januari 2023 in werking getreden.
Zowel NIS2 als DORA hebben het versterken en harmoniseren van cybersecurity en digitale weerbaarheid binnen de EU als doel. Ook leggen beide regelingen verantwoordelijkheden aangaande cybersecurity neer bij bestuursorganen van entiteiten. DORA is van toepassing op de financiële sector, terwijl de NIS2 een breder toepassingsbereik heeft. Laatstgenoemde is van toepassing op zogeheten essentiële en belangrijke entiteiten in verschillende sectoren, zoals energie, gezondheidszorg, vervoer en overheid. Een aantal financiële entiteiten valt ook binnen dat toepassingsgebied. Deze overlap tussen NIS2 en DORA doet de vraag rijzen hoe beide regelingen zich tot elkaar verhouden. Hierna ga ik nader in op die vraag.
NIS2 en DORA
NIS2 reguleert cybersecurity voor entiteiten die van vitaal belang zijn voor belangrijke maatschappelijke en economische activiteiten. De richtlijn maakt een onderverdeling tussen entiteiten van zogeheten zeer kritieke en andere kritieke sectoren, zoals energie, gezondheidszorg, vervoer en overheid. Bovendien bevat NIS2 uniforme criteria om te beoordelen of entiteiten uit deze sectoren binnen het toepassingsgebied van NIS2 vallen. Ook is een aantal financiële sectoren opgenomen in NIS2. De richtlijn kan van toepassing zijn op kredietinstellingen, exploitanten van handelsplatformen en centrale tegenpartijen. Daarnaast kan NIS2 van toepassing zijn op de ICT-leveranciers van voornoemde entiteiten, zoals leveranciers van clouddiensten. Voornoemde entiteiten worden, samen met nog 17 andere soorten entiteiten, ook genoemd in DORA, de verordening die de cybersecurity voor financiële entiteiten reguleert. Beide regelingen kunnen dus van toepassing zijn op dezelfde entiteiten. Tussen de regelingen is ook overlap tussen bepalingen met betrekking tot onder meer risicobeheer en rapportage van cyberincidenten. Deze overlap leidt tot de vraag wat de hiërarchie is tussen de regelingen.
Lex specialis
In overweging 16 van DORA is expliciet vermeld dat de verordening – die rechtstreekse werking heeft – een lex specialis is ten opzichte van NIS2. Dit betekent dat de bepalingen uit DORA, bij overlap of tegenstrijdigheid, prevaleren boven de bepalingen van NIS2 (evenals de nationale implementaties daarvan). Dat DORA voorgaat op NIS2 is ook op te maken uit andere bepalingen van de verordening. In artikel 1 lid 2 is bijvoorbeeld geregeld dat DORA met betrekking tot financiële entiteiten die als essentiële of belangrijke entiteiten kwalificeren onder NIS2, moet worden beschouwd als een sectorspecifieke rechtshandeling in de zin van artikel 4 van deze richtlijn. DORA bevat dus regels voor de financiële sector in aanvulling op de richtlijn. De voorrang van DORA op NIS2 blijkt daarnaast uit overweging 28 van NIS2. Daarin geeft de Europese wetgever te kennen dat wat in DORA wordt geregeld over ICT-risicobeheer, het beheer van cyberincidenten en de rapportage van grote cyberincidenten voorrang heeft op wat NIS2 regelt. Dit geldt ook voor alles dat DORA vermeldt op het gebied van digitale weerbaarheidstests, risico’s van derden op het gebied van ICT en informatie-uitwisselingsregelingen.
Eveneens benadrukt DORA het belang van communicatie tussen toezichthouders die zijn aangewezen op grond van DORA en NIS2 over grote cyberincidenten. Deze communicatie zou plaats kunnen vinden via onder meer centrale contactpunten en Computer Security Emergency Response Teams (‘CSIRT’s’) die onder NIS2 zijn aangewezen. De toezichthouders onder DORA kunnen zich tevens aansluiten bij samenwerkingsstructuren die zijn opgericht onder NIS2.
Verordening versus richtlijn
De Europese wetgever heeft bewust gekozen voor een verordening als lex specialis van NIS2. Als verordening zorgt DORA namelijk voor een grotere harmonisatie dan NIS2. Een verordening hoeft immers – anders dan een richtlijn – niet door de lidstaten te worden geïmplementeerd in hun nationale wetgeving. Dit heeft tot gevolg dat geen verschillen zijn tussen lidstaten met betrekking tot de regels inzake cyberweerbaarheid ten aanzien van financiële entiteiten en derde aanbieders van ICT-diensten. Deze uniformiteit van de regels kan extra bijdragen aan het verminderen van cyberrisico’s en het versterken van de weerbaarheid van financiële entiteiten. Wat kan zorgen voor een groter vertrouwen in en de stabiliteit van het financieel stelsel dat sterk afhankelijk is van ICT. Bovendien is dit gunstig voor het concurrentievermogen, de innovatie en de stabiliteit van de financiële sector. Deze bestaat voor een belangrijk deel uit entiteiten die grensoverschrijdend actief zijn. Het zou de onderlinge concurrentie tussen entiteiten niet ten goede komen wanneer twee concurrerende entiteiten uit verschillende lidstaten, onderworpen zouden zijn aan verschillende cybersecuritymaatregelen.
Conclusie
DORA is een lex specialis ten opzichte van NIS2. Dit volgt zowel expliciet als impliciet uit de verordening. De financiële entiteiten waarop zowel DORA als NIS2 van toepassing zijn, moeten daarom bij overlap of tegenstrijdigheid tussen bepalingen van de regelingen, de bepalingen van DORA in acht nemen. DORA heeft als verordening directe werking in Nederland en de andere lidstaten. Omdat NIS2 nog zal moeten worden geïmplementeerd in de Wbni, zal de exacte wisselwerking tussen de richtlijn en DORA in de praktijk nog moeten blijken.
Keywords
Auteur(s)
