NIS2 Kroatië: Wat betekent het voor uw organisatie en hoe voldoet u?

NIS2 Croatia

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken.

Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Kroatisch recht via de Cybersecurity Act (Zakon o kibernetičkoj sigurnosti NN 14/2024), hierna ‘cybersecurity wet’, die sinds 15 februari 2024 van kracht is. De vereisten uit de cybersecurity wet waaraan essentiële en belangrijke entiteiten dienen te voldoen, worden beschreven in de Verordening betreffende Cybersecurity (Uredbu o kibernetičkoj sigurnosti), hierna ‘verordening’, die werd ingevoerd op 22 november 2024.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

NIS2-entiteiten (Art. 9-13)

De Kroatische cybersecurity wet is relevant voor bedrijven die in Kroatië geregistreerd zijn en die producten en/of diensten leveren in een EU-land. Hoewel de Kroatische cybersecurity wet grotendeels overeenkomt met de Europese NIS2-richtlijn, introduceert deze strengere en meer gedetailleerde vereisten op bepaalde gebieden.

De cybersecurity wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de cybersecurity wet wanneer:

  1. Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de NIS2-wet;
  2. Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  3. Uw organisatie in Kroatië gevestigd is (m.u.v. aanbieders van openbare elektronische communicatiekanalen en aanbieders van openbaar elektronische communicatiediensten)

Hier vindt u meer informatie om te bepalen of uw organisatie een kleine, een middelgrote dan wel een grote onderneming betreft.

De cybersecurity wet stelt aanvullende vereisten m.b.t. het toepassingsgebied in vergelijking met de Europese NIS2-richtlijn. Zo dienen volgende entiteiten eveneens te voldoen aan de verplichtingen uit de cybersecurity wet:

  • ICT service management;
  • Lokale overheidsorganen die van cruciaal belang zijn voor het uitvoeren van maatschappelijke of economische activiteiten;
  • Publieke en private entiteiten in de onderwijssector die van belang zijn voor het uitvoeren van onderwijsactiviteiten.

De bevoegde autoriteiten voor de implementatie van de beheersmaatregelen inzake cybersecurity, waaronder het Nationaal Centrum voor Cyberbeveiliging (NCSC-HR), stellen lijsten op van entiteiten die vallen binnen het toepassingsgebied van de NIS2-wet en categoriseren deze in essentiële entiteiten en belangrijke entiteiten. De bevoegde autoriteiten stellen desbetreffende entiteiten in kennis over de categorisering. Vanaf dan dienen deze entiteiten hun verplichtingen die voortvloeien uit de Cybersecurity wet uit te voeren.

In artikel 9 t.e.m. 13 van de cybersecurity wet worden zowel de algemene als de bijzondere criteria van essentiële en belangrijke entiteiten beschreven.

Essentiële entiteiten zijn organisaties waarvan de verstoring van hun diensten grote maatschappelijke of economische gevolgen zouden kunnen hebben. Het gaat onder meer om:

  • Grote bedrijven actief in sectoren opgenomen in Bijlage I van de wet, zoals energie, transport en gezondheidszorg;
  • Aanbieders van gekwalificeerde vertrouwensdiensten of top-level domeinregistratie;
  • Overheidsinstellingen op centraal, regionaal of gemeentelijk niveau
  • De enige aanbieder van een dienst dat van vitaal belang is voor de samenleving of staat;

Ook worden de algemene en bijzondere criteria voor belangrijke entiteiten vermeld, voorbeelden hiervan zijn:

  • Middelgrote ondernemingen in de sectoren van Bijlage I;
  • Grote ondernemingen in de sectoren van Bijlage II, mits meer dan 50% van hun omzet daaruit voortkomt;
  • Micro, kleine en middelgrote entiteiten die niet-gekwalificeerde vertrouwensdiensten aanbieden;

De volledige lijst van sectoren kan worden geraadpleegd in Bijlage I en Bijlage II van de Kroatische Cybersecurity Wet en in Bijlage I van de Verordening.

Wat betekent dit voor mijn bedrijf?

1. Registratie (Art. 20-23 cybersecurity wet en Art. 19 Verordering)

In Kroatië geldt geen verplichting tot zelfregistratie van de NIS2-entiteit. De registratie van de cyber security entiteiten wordt in Kroatië gecoördineerd door het NCSC-HR. Die laatste stelt een lijst op van essentiële en belangrijke entiteiten. Hiervoor wordt gebruik gemaakt van de algemene en bijzondere criteria van essentiële en belangrijke entiteiten zoals beschreven in de wet. De entiteiten die in het register worden opgenomen, worden hierover in kennis gesteld en dienen de autoriteit binnen de 15 tot 45 dagen volgende informatie in te dienen:

  • Naam van de entiteit
  • Overzicht van de aangeboden diensten
  • Adres van de hoofdvestiging en andere vestigingen of het adres van haar vertegenwoordiger
  • e-mailadressen en telefoonnummers van de entiteit en haar vertegenwoordiger
  • Overzicht van lidstaten waar diensten worden aangeboden
  • IP-adresbereik

2. Beheersmaatregelen implementeren (Art. 30 cybersecurity wet; Bijlage II Verordening)

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze maatregelen worden beschreven in het regeringsbesluit:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Incidentenbeheer
  • Bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
  • Beleid en procedures over het cryptografie en in voorkomend geval encryptie
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
  • Wanneer gepast, meerstapsverificatie, beveiligde communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit
  • Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

3. Rapporteringsverplichting incidenten (Art. 37 en Art. 58-74 Verordeningn)

Belangrijke en essentiële entiteiten zijn verplicht het nationale CSIRT in kennis te stellen wanneer zich een significant incident voordoet. Naast het bevoegde CSIRT, dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een significant incident wordt volgens de NIS2-wet gedefinieerd als ‘elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:

  • een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
  • andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken’

Het significante incident wordt door de gecategoriseerde entiteit gemeld via het PiXi-platform volgens volgende procedure:

  1. onverwijld en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit  een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
  2. onverwijld en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie update bevat en een initiële beoordeling van het incident;
  3. op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
    • Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
    • Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
    • Toegepaste en lopende risicobeperkende maatregelen;
    • De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

Indien het PiXi-platform niet beschikbaar is, worden significante incidenten gemeld middels het invullen van een formulier welke gemaild dienen te worden naar de bevoegde CSIRT (incident@ncsc.hr of zks-incident@cert.hr).

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden.

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden Gecategoriseerde entiteiten kunnen dit doen via het PiXi-platform, niet-gecategoriseerde entiteiten verwittigen het bevoegde CSIRT per mail.

4. Verplichtingen en verantwoordelijkheden management (Bijlage II sectie 1 verordening)

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de cybersecurity wet en dienen verschillende verplichtingen na te komen waaronder:

  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging
  • Aanstellen van een verantwoordelijke voor cyberbeveiliging
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
  • Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met autoriteiten

NIS2-entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe NIS2-compliance aantonen?

Zoals aangegeven in het hoofdstuk ‘Handhaving’ voeren de bevoegde autoriteiten inspecties uit bij de essentiële en belangrijke entiteiten op de naleving van de cybersecurity wet.

Daarnaast zijn essentiële entiteiten verplicht om minstens om de 2 jaar en op verzoek van de bevoegde autoriteit een onafhankelijke audit te laten uitvoeren door een geaccrediteerde CAB. Op basis van deze onafhankelijke conformiteitsbeoordeling kan de entiteit een certificaat behalen, waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders. Een belangrijke internationale standaard die hiervoor gehanteerd kan worden is ISO/IEC 27001.

Belangrijke entiteiten dienen minstens om de 2 jaar een zelfevaluatie uit te voeren of te laten uitvoeren. Op verzoek van de bevoegde autoriteit, dient de belangrijke audit eveneens een externe cyberbeveiligingsaudit te laten uitvoeren.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

Handhaving en Sancties (Art. 86, 101-103)

De bevoegde autoriteit voert inspecties uit op de naleving door cyber security entiteiten van de vereisten zoals bepaald in de cybersecurity wet. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Kroatische cybersecurity wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen, een controlefunctionaris benoemen, een certificering of vergunning tijdelijk opschorten, de uitvoering van leidinggevende functies tijdelijk verbieden enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro voor essentiële entiteiten en tot 7.000.000 euro voor belangrijke entiteiten:

Boetes voor belangrijke entiteiten

  • Van 5.000 tot 7.000.000 euro of van 0,2% tot 1,4% van de totale jaarlijkse wereldwijde omzet van de betrokken entiteit (Art. 102)
  • Van 1.000 tot 6.000 euro voor de natuurlijke personen die belast zijn met het beheer van de maatregelen van de betrokken entiteit
  • Van 2.000 tot 20.000 euro indien gevraagde informatie m.b.t. de categorisering van de entiteiten niet (tijdig) geleverd wordt (Art. 103)
  • Van 200 tot 1.000 euro voor de verantwoordelijke van de entiteit

Boetes voor essentiële entiteiten

  • Van 10.000 tot 10.000.000 euro of van 0,5% tot 2% van de totale jaarlijkse wereldwijde omzet van de betrokken entiteit (Art. 101)
  • Van 500 tot 3.000 euro voor de natuurlijke personen die belast zijn met het beheer van de maatregelen van de betrokken entiteit
  • Van 2.000 tot 20.000 euro indien gevraagde informatie m.b.t. de categorisering van de entiteiten niet (tijdig) geleverd wordt (Art. 103)
  • Van 200 tot 1.000 euro voor de verantwoordelijke van de entiteit
  •  

Deadlines

De Kroatische NIS2-wet treedt in werking op 15/02/2024. Vanaf dan zijn de NIS2-entiteiten verplicht om de minimale set van beheersmaatregelen tegen cyberdreigingen te nemen. Ook significante incidenten dienen vanaf dan volgens de voorgeschreven procedure gerapporteerd te worden. Verder dienen bestuursorganen te voldoen aan hun verplichtingen zoals hierboven beschreven en dienen de entiteiten samen te werken met de bevoegde autoriteiten en vallen ze eveneens onder hun toezicht.

De Kroatische overheid is verplicht om een lijst van cyberbeveiligingsentiteiten samen te stellen binnen een jaar na de inwerkingtreding van de wet, dit is uiterlijk op 15/02/2025. De entiteit dient binnen de 15 tot 45 dagen na notificatie de bevoegde CSIRT de benodigde informatie te verschaffen.

Deze cybersecurity entiteiten hebben 12 maanden na de datum van notificatie door de bevoegde autoriteit de tijd om organisatorische maatregelen te implementeren. Vanaf de eerste werkdag na het verstrijken van deze termijn, is de entiteit verplicht cybersecurity audits te laten uitvoeren.

Bevoegde autoriteiten (Bijlage III cybersecurity wet)

In het kader van de implementatie van de NIS2-wet in Kroatië zijn verschillende bevoegde autoriteiten aangewezen die toezicht houden op de naleving van cybersecuritymaatregelen binnen hun respectieve sectoren. De Kroatische wetgeving dekt hierbij 19 sectoren en 15 subsectoren, zoals gespecifieerd in bijlage III van de nationale wetgeving. Hieronder volgt een overzicht van de belangrijkste autoriteiten en hun verantwoordelijkheden:

Sectorale bevoegde autoriteiten:

  • Kroatische Nationale Bank (CNB): bankensector
  • Kroatische Autoriteit voor Financiële Diensten (HANFA): Infrastructuur voor de financiële markt
  • Kroatische Civiele Luchtvaartautoriteit (HACZ): luchtverkeer
  • Kantoor van de Nationale Veiligheidsraad (UVNS): publieke sector
  • Reguleringsautoriteit voor Netwerkindustrieën (HAKOM): elektronische communicatiesector
  • Centraal Staatsbureau voor de Ontwikkeling van de Digitale Samenleving (SDURDD): verleners van vertrouwensdiensten
  • Ministerie van Wetenschap en Onderwijs (MZO): onderwijs- en onderzoekssector

Nationale cybersecuritycentra:

Nationaal Centrum voor Cybersecurity (NCSC-HR):
Dit centrum valt onder de Kroatische Veiligheids- en Inlichtingendienst (SOA) en is verantwoordelijk voor toezicht en coördinatie van cybersecuritymaatregelen in alle andere sectoren en subsectoren die niet onder bovengenoemde autoriteiten vallen. Daarnaast betreft het de bevoegde CSIRT voor 15 sectoren en 15 subsectoren.

Nationaal CERT (CERT.hr):
Het Nationaal CERT speelt een centrale rol bij het behandelen van cybersecurityincidenten in de bankensector, financiële markten, digitale infrastructuur, onderwijs en de onderzoekssector. Het opereert binnen het Kroatisch Academisch en Onderzoeksnetwerk (CARNET).

Voor een gedetailleerd overzicht van de bevoegde instanties kan u Bijlage III van de cybersecurity wet raadplegen. Verder wordt de rol van deze bevoegde autoriteiten beschreven in de FAQ’s op de website van het Nationaal Cybersecurity Centrum.

Meer informatie en antwoorden op uw NIS2-gerelateerde vragen kan u terugvinden op de website van het NCSC-HR.