Het verschil tussen ‘passend’ en ‘evenredig’ bij maatregelen in NIS2

Passend volgens NIS2

De juridische invulling van de term ‘passend’ volgens NIS2 omvat drie aspecten:

1. Passend is wanneer de maatregelen alle gevaren omvatten en het doel hebben om ‘netwerk- en informatiesystemen en de fysieke omgeving van die systemen te beschermen tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via netwerk- en informatiesystemen worden aangeboden, in gevaar kunnen brengen…’.^[1]
2. De maatregelen moeten ook passend zijn binnen Richtlijn (EU) 2022/2557 (CER [/ Weerbaarheid van kritieke entiteiten]). Ov. 20 CER verwijst naar de verplichting in NIS2 om passende maatregelen te nemen. Art. 13 lid 1 aanhef CER verplicht kritieke entiteiten om passende maatregelen vanuit de CER te nemen op basis van risicobeoordelingen. Dit ligt in lijn met ov. 30 NIS2, dat ingaat op de onderlinge verbanden tussen CER en NIS2, waaronder risico’s. De CER is alleen op essentiële entiteiten van toepassing, ex. art. 3 lid 1 sub f NIS2, want alleen essentiële entiteiten kunnen vanuit de CER als kritieke entiteit aangemerkt worden.^[2] Dit betekent dat, wanneer de CER ook van toepassing is voor een essentiële entiteit, de vereisten uit de CER ook van invloed zijn op het passend zijn van de maatregelen.
3. Het nemen van passende en specifieke maatregelen bij de gegevensverwerking van bijzondere persoonsgegevens, ex. art. 9 GDPR, ter bescherming van de rechten en vrijheden van natuurlijke personen.^[3] Het betekent dat ook de GDPR in ogenschouw genomen moet worden voor deze categorie van bijzondere persoonsgegevens bij het nemen van passende maatregelen. Hofman deed onderzoek naar risicogebaseerde aanpak en passende maatregelen. Uit haar onderzoek kan geconcludeerd worden dat ‘het waarborgen van het passende beveiligingsniveau een resultaatverplichting is. Een redelijke inspanning hiertoe leveren is dan ook onvoldoende. Wanneer de conclusie is dat er wel sprake was van passende beveiliging, dan is er geen verhaalmogelijkheid voor de betrokkene. Dit leidt ertoe dat, hoe hoger het risico van of verwerkingsduur voor een gegevensverwerking is, hoe hoger het beveiligingsniveau moet zijn om als passend beschouwd te worden.’ Het HvJEU bevestigt deze resultaatverplichting door te stellen dat een verwerkingsverantwoordelijke maatregelen moet treffen om een op het risico afgestemd beveiligingsniveau te garanderen. Hierbij moet de verwerkingsverantwoordelijke onder andere rekening houden met de uiteenlopende risico’s. Daarom moeten eerst de risico’s geanalyseerd worden en daarna passende beveiligingsmaatregelen getroffen worden.^[5] Logisch ook, want om passende maatregelen te kunnen nemen, zal eerst inzichtelijk gemaakt moeten worden welke maatregelen de onderkende risico’s kunnen beheren. Dat kan alleen door eerst de risico’s te analyseren. (Bron: J. Maas, Compliancebundel voor de security professional – art. 21 lid 1 NIS2, Veghel: JMP 2024, p. 16 - 18.)

Passend volgens NIS2 gaat dus om de relatie tussen de te nemen maatregelen en ‘het gevaar’ (lees: dreiging), de relatie met de Wet Weerbaarheid van kritieke entiteiten (CER) en/of de entiteit die bijzondere persoonsgegevens verwerkt.

^[1] Ov. 79 NIS2. Merk op dat een geaccepteerde norm zoals ISO/IEC 27001:2022 alleen de beschikbaarheid, integriteit en vertrouwelijkheid van informatie omvat (ISO/IEC 27001:2022, p. 5). De authenticiteit waarnaar ov. 79 NIS2 verwijst is een aanvullende categorie en wordt door de Telecommunicatiewet omschreven als ‘eigenschap dat een entiteit is wat zij claimt te zijn’ (‘Begrippenlijst telecomaanbieders’, rdi.nl, 02-04-2024). 

^[2] Ov. 30 NIS2 beschrijft de verhoudingen tussen NIS2 en CER en deze onderlinge toepasselijkheid.

^[3] Ov. 121 NIS2 beschrijft het als volgt: ‘… toelaten om bijzondere categorieën van persoonsgegevens te verwerken overeenkomstig artikel 9 van Verordening (EU) 2016/679, met name door te voorzien in passende en specifieke maatregelen ter bescherming van de grondrechten en de belangen van natuurlijke personen, … ‘.

^[4] Hofman 2022, par. 8.3.4.

^[5] HvJEU 21-12-2023, C-667/21, ECLI:EU:C:2023:1022, r.o. 68 (ZQ/ Medizinischer Dienst). Zie ook HvJEU 14-12-2023, C-340/21, ECLI:EU:C:2023:986, r.o. 41 en 42 (VB/ Natsionalna agentsia za prihodite).

Evenredig volgens NIS2

De splitsing van passend en evenredig in art. 21 lid 1 NIS2 geeft een volgordelijkheid aan. Eerst moet, ex. art. 21 lid 1 eerste alinea NIS2, beoordeeld worden of de maatregelen passend zijn en deze maatregelen het gerelateerde risico daadwerkelijk kunnen beheren. Daarna wordt in art. 21 lid 1 tweede alinea beoordeeld of de invulling van de maatregel ook in verhouding (evenredig) is met de stand van de techniek, Europese of internationale standaarden en de uitvoeringskosten.^[1] Bij het bepalen of de uitvoeringskosten evenredig zijn, kan een kosten-batenanalyse toegepast worden.^[2] 

Bij de beoordeling van de maatregelen wordt ook naar de evenredigheid gekeken, zoals art. 21 lid 1 tweede alinea NIS2 aangeeft, waarbij de volgende aspecten meegewogen worden: de omvang van de entiteit, de mate waarin de entiteit aan risico’s is blootgesteld, de kans dat zich incidenten kunnen voordoen en de ernst daarvan. Deze afwegingen zijn direct te relateren aan de evenredigheidsbeoordeling. Hoe omvangrijker de entiteit is, des te hoger is de mate van risicoblootstelling en de gevolgen van een incident, waardoor naar evenredigheid meer van een dergelijke entiteit verwacht wordt in de manier waarop zij invulling geeft aan de passende maatregelen voor risicobeheer. Dit bevestigt ook de resultaatverplichting uit punt 3 ‘Passend volgens NIS2’ en de toepassing ervan in andere EU-wetgeving zoals Richtlijn (EU) 2015/849.^[3] 

Samenvattend geeft de evenredigheid van een maatregel aan of de genomen passende maatregel met voldoende diepgang geïmplementeerd is om het betreffende risico effectief te kunnen beheren. (Bron: J. Maas, Compliancebundel voor de security professional – art. 21 lid 1 NIS2, Veghel: JMP 2024, p. 18 - 19.)

^[1] Art. 21 lid 1 NIS2 luidt: ‘De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige … maatregelen nemen om de risico’s … te beheren en …. Rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten, … dat is afgestemd op de risico’s die zich voordoen...’.

^[2] NEN-ISO 31000:2018+C11:2019, clausule 6.5.2. ISO/IEC 27005:2022, p. 24.

^[3] Hofman 2022, par. 6.3.3, par. 8.3.4 en hoofdstuk 1.2.4. Art. 21 lid 2 tweede alinea NIS2. Ook art. 46 lid 1 Richtlijn (EU) 2015/849 (PbEU 2015, L 141/73) geeft aan dat ‘… entiteiten maatregelen nemen die evenredig zijn met hun risico's, aard en omvang …’. 

Het verschil tussen ‘passend’ en ‘evenredig’

Het verschil tussen passend en evenredig is met bovenstaande analyse snel te maken. Passendheid koppelt een maatregel aan een dreiging. De evenredigheid bepaalt de invulling van de passendheid. Een versimpeld voorbeeld hiervan is een slot op de deur. Het afsluiten van een deur voorkomt inbraak. Het implementeren van de maatregel ‘slot’ is passend te noemen voor ‘het gevaar’ inbraak. Maar het is de evenredigheid die bepaalt welk type slot het minimaal moet zijn. Is ‘het gevaar’ zeer groot, dan zal eerder een goedgekeurd veiligheidsslot (zoals bijvoorbeeld SKG***) gekozen moeten worden met eventueel extra beslag en/of meerpuntssluitingen.

Onbruikbaarheid van handvatten/richtlijnen

Wanneer gekeken wordt naar richtlijnen en handvatten die gepubliceerd worden als bijdrage aan het voldoen aan NIS2, dan valt na het lezen van deze nieuwsbrief iets op: ze behandelen alleen de passendheid van maatregelen en/of de minimale set van maatregelen uit art. 21 lid 2 NIS2.

Het is belangrijk te beseffen als organisatie dat alleen het volgen van de passendheid van maatregelen en/of het implementeren van alleen deze minimale set van maatregelen onvoldoende is. Om te voldoen aan NIS2 zal de organisatie eerst moeten vaststellen of zij is aan te merken als een belangrijke of essentiële entiteit. Wanneer dat niet zo is, is NIS2 niet op jouw organisatie van toepassing. Het kan wel inhouden dat via klanten/opdrachtgevers aanvullende eisen aan jouw dienstverlening gesteld worden zodat zij aan NIS2 voldoen. Wanneer jouw organisatie een entiteit is, zal eerst een uitgebreide en gedetailleerde risicoanalyse uitgevoerd moeten worden. Vervolgens worden de passende maatregelen vastgesteld en ten slotte de exacte invulling (evenredigheid) van iedere maatregel.

Het gebruiken van algemeen geaccepteerde normen zoals ISO27001 of ISO27005 helpt hierbij, maar vervangt de eisen uit NIS2 niet. Het (alleen) behalen van een (ISO27001-)certificaat is van meerwaarde, maar toont geen NIS2-compliance aan. NIS2 is, net als de AVG, een open norm die door iedere organisatie zelf ingekleurd moet worden. Dat vergt tijd en inspanning.

Conclusie

Het voldoen aan NIS2 vraagt meer dan alleen de minimale set van maatregelen, het hebben van ISO27001-certificering en het volgen van richtlijnen/handvatten die onvolledig zijn. NIS2 is een open norm. Hierdoor bieden bestaande richtlijnen/handvatten en certificeringen wel basisoverwegingen en -implementatie, maar het echte verschil maak je als organisatie zelf door de inkleuring die aan NIS2 gegeven wordt. Dat kan alleen door de organisatie zelf gedaan worden.