In onze eerdere blogs heb je kunnen lezen wat de NIS2-richtlijn in gaat houden, wat je ervan kunt gaan verwachten en wat de meld- en zorgplichten in houden. Bij deze laatstgenoemde meld- en zorgplicht dient er een vorm van handhaving te komen om de effectieve naleving van de in de NIS2-richtlijn omvatte regels te verzekeren. Autoriteiten krijgen hiervoor verschillende toezichtacties- en middelen tot hun beschikking.
Olaf van Haperen, technology partner bij Eversheds Sutherland Nederland, gaf tijdens de eerste Nederlandse ESET European Cybersecurity Day op 24 november al aan dat deze handhaving waarschijnlijk niet bij de Autoriteit Persoonsgegevens komt te liggen maar bij het agentschap Telecom.
Hind Dekker-Abdulaziz van D66 gaf hierbij aan dat het gebrek aan capaciteit bij mogelijke toezichthouders nog een uitdaging kan vormen. Volgens haar moet er een toezichthouder komen met tanden en voldoende capaciteit.
Minimum sancties
De NIS2-richtlijn telt een minimumlijst van sancties vast, bestaande uit verschillende toezichts- en handhavingsmogelijkheden. Bepaalde sancties zijn geharmoniseerd, andere niet, zoals de sancties met betrekking tot ernstige inbreuken op verplichtingen uit de richtlijn. In de laatstgenoemde gevallen zullen individuele lidstaten moeten voorzien in een systeem van doeltreffende, evenredige en afschrikkende sancties. Ook de aard van de sanctie (strafrechtelijk of administratief) zal worden bepaald door de lidstaat zelf. Maatregelen kunnen bestaan uit inspecties ter plaatse, gerichte beveiligingsaudits, beveiligingsscans, informatieverzoeken en verzoeken om toegang tot gegevens.
De richtlijn schrijft daarnaast voor dat de vast te stellen sancties, gezien de gevolgen ervan voor ondernemingen en uiteindelijk consumenten, alleen toegepast mogen worden in verhouding tot de aard, ernst en duur van de inbreuk (dit is vergelijkbaar met de AVG). Sancties moeten ook rekening houden met de omstandigheden van het afzonderlijke geval, met inbegrip van de daadwerkelijk veroorzaakte schade of geleden verliezen, potentiële schade of verliezen, het opzettelijke of nalatige karakter van de inbreuk, genomen maatregelen om schade of verliezen te voorkomen of beperken, de mate van verantwoordelijkheid van eerdere inbreuken, samenwerking met de bevoegde autoriteit en andere verzwarende of verzachtende factoren. Ook moeten de administratieve sancties voorzien worden van passende procedurele waarborgen. Dit betekent dat er bijvoorbeeld bezwaar of beroep mogelijk is, men recht heeft op een eerlijk proces en dit ook gewaarborgd wordt. Sancties kunnen namelijk zelfs een opschorting van certificering of vergunning inhouden of het opleggen van een tijdelijk verbod op de uitoefening van leidinggevende functies door een natuurlijk persoon. Dit zijn zeer ingrijpende sancties. Dergelijke sancties mogen daarom slechts worden toegepast als laatste redmiddel (ultima ratio) nadat andere relevante handhavingsmaatregelen uit de richtlijn zijn uitgeput. Daarnaast geldt dat deze alleen mogen toegepast op het moment dat de entiteiten waarop zij van toepassing zijn de nodige maatregelen treffen om tekortkomingen te verhelpen of te voldoen aan de eisen van de bevoegde autoriteit waarvoor de sancties zijn toegepast.
Administratieve boetes
Administratieve boetes kunnen, afhankelijk van de omstandigheden van het geval, worden opgelegd in plaats van of boven op de eerder genoemde maatregelen. Ook bij het opleggen van een administratieve boete zal aandacht geschonken moeten worden aan de eerder genoemde elementen. Verder mogen inbreuken worden bestraft met administratieve boetes van tien miljoen euro of, indien dat meer is, maximaal 2% van de wereldwijde jaarlijkse omzet van de onderneming, afhankelijk welke hoger uitvalt. Hier zullen de lokale toezichthouders boetebeleidsregels moeten gaan formuleren en hanteren (net als de Autoriteit Persoonsgegevens dat voor de AVG heeft gedaan).
Onderscheid toezicht essentiële en belangrijke entiteiten
Zoals in een eerdere blog al benoemd zijn essentiële en belangrijke entiteiten onderworpen aan een verschillende toezichtregeling. Zo zijn essentiële entiteiten onderworpen aan volwaardig toezicht – toezicht vindt zowel voor- als achteraf plaats. Belangrijke entiteiten zijn onderworpen aan een lichtere toezichtregeling, waarbij toezicht slechts uitsluitend achteraf plaatsvindt.
Inbreuk op persoonsgegevens
Het geval kan zich voordoen dat een inbreuk door een essentiële of belangrijke entiteit op één van de verplichtingen uit de NIS2-richtlijn een vermoeden geeft op een meldenswaardige inbreuk in verband met persoonsgegevens, zoals bedoeld in de AVG. In dat geval dienen de bevoegde toezichthoudende autoriteiten daarvan binnen redelijke termijn in kennis te worden gesteld. Toezichthouders worden door de richtlijn ook gestimuleerd nauw samen te werken op dit vlak.
Op deze pagina lees je alles over de NIS2-richtlijn.