NIS2 Litouwen: wat u moet weten!

NIS2 Lithuania

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd in Litouwen omgezet in nationaal recht via de aangepaste Wet op Cyberbeveiliging van de Republiek Litouwen, die op 18/10/2024 in werking is getreden en het Regeringsbesluit inzake de implementatie van de wet van de Republiek Litouwen inzake cyberbeveiliging (‘Resolutie’), die in werking getreden is op 12/11/2024.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

NIS2-entiteiten

De Litouwse Wet op Cyber Security is strenger dan de Europese minimumnormen en bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen.

Hiervoor maakt de Litouwse wet een onderscheid tussen essentiële entiteiten (esminiai subjektai) en belangrijke entiteiten (svarbūs subjektai), de zogenaamde ‘cyberbeveiligingsentiteiten’. Een entiteit wordt pas officiaal als NIS2-plichtig beschouwd na registratie in het Litouwse Cyberbeveiligingsinformatiesysteem door de overheid. Hiervoor wordt een set aan identificatiecriteria gehanteerd, zoals omschreven in artikel 11.

Essentiële entiteiten zijn organisaties waarvan de verstoring van hun diensten grote maatschappelijke of economische gevolgen zouden kunnen hebben. In artikel 11 van de wet worden algemene en bijzondere criteria van een essentiële entiteit beschreven. Het gaat onder meer om:

  • Grote bedrijven actief in sectoren opgenomen in Bijlage I van de wet, zoals energie, transport en gezondheidszorg;
  • Aanbieders van gekwalificeerde vertrouwensdiensten of top-level domeinregistratie;
  • Overheidsinstellingen op centraal, regionaal of gemeentelijk niveau
  • De enige aanbieder van een dienst dat van vitaal belang is voor de samenleving of staat;

Ook worden de algemene en bijzondere criteria voor belangrijke entiteiten vermeld in artikel 11, voorbeelden hiervan zijn:

  • Middelgrote ondernemingen in de sectoren van Bijlage I;
  • Grote ondernemingen in de sectoren van Bijlage II, mits meer dan 50% van hun omzet daaruit voortkomt;
  • Micro, kleine en middelgrote entiteiten die niet-gekwalificeerde vertrouwensdiensten aanbieden;

De volledige lijst van sectoren kan worden geraadpleegd in Bijlage I en Bijlage II van de Litouwse Cyber Security Wet.

Bijlage I: Zeer kritieke sectoren Bijlage II: Andere kritieke sectoren
Energie
• Elektriciteit
• Stadsverwarming en -koeling
• Aardolie
• Aardgas
• Waterstof

Post- en koeriersdiensten
Transport
• Lucht
• Spoor
• Water
• Weg		 Afvalbeheer
Bankwezen

Productie, vervaardiging en distributie van chemicaliën

Financiële marktinfrastructuren

Productie, verwerking en distributie van voedingsmiddelen
Gezondheidszorg Industrie
• Medische hulpmiddelen en in-vitro diagnostische medische hulpmiddelen
• Computers, elektronische en optische producten
• Elektrische apparatuur
• Machines en apparaten n.e.g.
• Motorvoertuigen, aanhangwagens en opleggers
• Overige transportmiddelen
Drinkwater Digitale aanbieders
Afvalwater Onderzoek
Digitale infrastructuur  
Beheer van ICT-diensten (business-to-business)  
Overheid  
Ruimtevaart  

Meer informatie over de definities van een micro, kleine, middelgrote en grote onderneming vindt u hier.

 

Wat betekent dit voor mijn bedrijf?

1. Registratie (Art. 11, 13, 19)

De registratie van de cyber security entiteiten wordt in Litouwen gecoördineerd door het Nationaal Cyber Security Centrum (NKSC) onder het ministerie van Defensie. Het NKSC dient uiterlijk op 17 april 2025 een lijst op te stellen waarin entiteiten die aangemerkt worden als belangrijk of essentieel opgenomen worden. Hiervoor wordt gebruik gemaakt van de algemene en bijzondere criteria van essentiële en belangrijke entiteiten zoals beschreven in artikel 11 van de wet. De entiteiten die in het register worden opgenomen, worden hierover in kennis gesteld. Daarnaast kan ook via het NKSC platform nagegaan worden of uw entiteit geregistreerd staat als cyber security entiteit.

2. Beheersmaatregelen implementeren

Als uw organisatie binnen het toepassingsgebied van de NIS2-wet valt, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze maatregelen worden beschreven in het regeringsbesluit:

  • Aanwijzen van een cyber security manager en andere verantwoordelijken voor cyber security
  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Incidentenbeheer
  • Bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
  • Beleid en procedures over het cryptografie en in voorkomend geval encryptie
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
  • Wanneer gepast, meerstapsverificatie, beveiligde communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit
  • Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

3. Rapporteringsverplichting incidenten (Art. 18)

Belangrijke en essentiële entiteiten zijn verplicht het nationale CSIRT, in Litouwen betreft dit NKSC, in kennis te stellen indien zich een significant incident voordoet. Naast het NKSC, dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.

Een significant incident wordt volgens de NIS2-wet gedefinieerd als ‘elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:

  • een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
  • andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken’

Het significante incident wordt door de cyberentiteit gemeld aan het NKSC volgens volgende procedure:

  1. onverwijld en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit via het notificatieplatform van NKSC een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
  2. onverwijld en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie-update bevat en een initiële beoordeling van het incident;
  3. op verzoek van NKSC dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van:
      1. Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
      2. Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
      3. Toegepaste en lopende risicobeperkende maatregelen;
      4. De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden.

Tot slot kunnen alle entiteiten, ongeacht of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden bij het NKSC via het notificatieplatform.

Meer informatie omtrent het Cyber Security Informatiesysteem kan u raadplegen via de website van het NKSC.

4. Verplichtingen en verantwoordelijkheden management

De bestuursorganen van entiteiten die vallen binnen het toepassingsgebied van de NIS2-wet dienen aan enkele verplichtingen te voldoen:

  • Aanduiden van een cyber security manager en/of security officer die de implementatie van de cyber security-maatregelen coördineert en superviseert, en andere verantwoordelijken voor cyberbeveiliging;
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen, en dit minstens tweejaarlijks;
  • Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security;
  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging;

De bestuursorganen zijn aansprakelijk bij niet-naleving van de NIS2-wet.

5. Samenwerken met autoriteiten

NIS2-entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe NIS2-compliance aantonen?

Zoals aangegeven in het hoofdstuk ‘Sancties’ voert de Litouwse autoriteit inspecties uit op de naleving van de NIS2-wet door cybersecurity entiteiten.

Daarnaast is de cyber security entiteit verplicht om minstens om de 3 jaar een onafhankelijke audit te laten uitvoeren door een geaccrediteerde CAB. Op basis van deze onafhankelijke conformiteitsbeoordeling kan de cyber security entiteit een certificaat behalen, waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders.

Het nationaal certificeringsschema, dat van kracht is sinds 2016 en reeds verschillende wijzigingen heeft ondergaan, is gelijkaardig aan ISO/IEC 27001.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

Handhaving en Sancties (Art. 28 e.v.)

Het NKSC voert inspecties uit op de naleving door cyber security entiteiten van de vereisten zoals bepaald in de NIS2-wet. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Litouwse NIS2-wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes. De wetgever maakt een onderscheid tussen ernstige, matige en kleine overtredingen. De NKSC selecteert een of meerdere maatregelen op basis van de wettelijke procedure.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen, een controlefunctionaris benoemen, een certificering of vergunning tijdelijk opschorten, de uitvoering van leidinggevende functies tijdelijk verbieden enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro voor essentiële entiteiten en tot 7.000.000 euro voor belangrijke entiteiten. Een overzicht van de administratieve maatregelen en boetes kan geraadpleegd worden via de website van het NKSC.

Deadlines

De Litouwse NIS2-wet treedt in werking op 18/10/2024. Vanaf dan zijn de NIS2-entiteiten verplicht om de minimale set van beheersmaatregelen tegen cyberdreigingen te nemen. Ook significante incidenten dienen vanaf dan volgens de voorgeschreven procedure gerapporteerd te worden. Verder dienen bestuursorganen te voldoen aan hun verplichtingen zoals hierboven beschreven en dienen de entiteiten samen te werken met de bevoegde autoriteiten en vallen ze eveneens onder hun toezicht.

De Litouwse overheid is verplicht om een lijst van cyberbeveiligingsentiteiten samen te stellen uiterlijk op 17/04/2025. Deze cyberbeveiligingsentiteiten hebben 12 maanden na de datum van registratie de tijd om organisatorische maatregelen te implementeren, dit is op 17/04/2026. Voor het implementeren van de technische maatregelen krijgt de cyberbeveiligingsentiteit 24 maanden na de datum van de registratie de tijd, dit is uiterlijk op 17/04/2027.

Essentiële entiteiten zijn eveneens aan deadlines gebonden wat betreft de regelmatige conformiteitsbeoordelingen. De ex-postevaluatie dient uiterlijk 01/01/2029 uitgevoerd te worden.

gBevoegde autoriteiten (Art. 4, 5, 7, 9, 10)

In Litouwen zijn verschillende nationale autoriteiten betrokken bij het vormgeven en uitvoeren van het cyber securitybeleid. De coördinatie en implementatie van deze beleidsmaatregelen zijn verdeeld over meerdere instanties, elk met specifieke verantwoordelijkheden.

Het Ministerie van Defensie is verantwoordelijk voor het algemene cyber securitybeleid van Litouwen. Het stelt strategische doelen en prioriteiten vast en coördineert de uitvoering ervan. Het Ministerie van Buitenlandse Zaken speelt een rol in het ontwikkelen van juridische kaders voor diplomatieke maatregelen als reactie op cyberdreigingen en -incidenten.

Het Nationaal Cyber Security Centrum (NKSC), opererende onder het Ministerie van Defensie, betreft de nationale autoriteit voor netwerk- en informatiesysteembeveiliging. Daarnaast fungeert het ook als het Computer Security Incident Response Team (CSIRT) en als centraal informatiepunt voor cyber security incidenten. Het NKSC is belast met het toezicht op cyber security onderwerpen en het verstrekken van richtlijnen en aanbevelingen aan zowel publieke als private entiteiten.

Het cyber securitybeleid in Litouwen wordt uitgevoerd door de Nationale Commissie voor Cyber Security, de Litouwse politie en de Staatsinspectie Gegevensbescherming. Het Nationale Crisisbeheersingscentrum coördineert de respons op grootschalige cyberincidenten die de nationale capaciteit overstijgen en zorgt in dergelijke gevallen voor communicatie met Europese instellingen.

Nuttige links

Meer informatie en antwoorden op uw NIS2-gerelateerde vragen kan u terugvinden op de website van het NKSC.