NIS2 Letland: wat betekent het voor uw organisatie?

NIS2 Latvia

De oorspronkelijke NIS1-richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberbeveiliging binnen de EU te versterken.

Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Lets recht via de Cybersecurity Wet (Nacionālās kiberdrošības likums), die sinds 1 september 2024 van kracht is.

Hoewel Letland de NIS2-richtlijn reeds heeft omgezet in nationale wetgeving, is er vertraging bij de vaststelling van de uitvoeringsverordening van het kabinet van ministers. Op 7 mei 2025 heeft de Europese Commissie naar onder andere Letland een met redenen omkleed advies verstuurd met de oproep om de NIS2-richtlijn volledig om te zetten, zowel de primaire wetgeving als alle secundaire wetgeving. Een ontwerp van de verordening is reeds raadpleegbaar.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

NIS2-entiteiten

De Letse cybersecurity wet is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als ‘entiteiten’) die in Letland geregistreerd zijn en die producten en/of diensten leveren in een EU-land. De Letse cybersecurity wet komt grotendeels overeen met de Europese NIS2-richtlijn.

De cybersecurity wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe is uw entiteit onderworpen aan de Letse cybersecurity wet indien:

  • Uw organisatie diensten levert binnen een sector die vermeld staat in artikel 20 (essentiële entiteiten) en 21 (belangrijke entiteiten) van de cybersecurity wet;
  • Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  • Uw organisatie in Letland is gevestigd (met uitzondering van aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbare elektronische communicatiediensten).

Hier vindt u meer informatie om te bepalen of uw organisatie een kleine, een middelgrote dan wel een grote onderneming betreft.

Let op, ook kleine ondernemingen kunnen binnen het toepassingsgebied van de cybersecurity wet vallen, bijvoorbeeld wanneer de entiteit in Letland de enige aanbieder is van een essentiële dienst of wanneer het aanbieders betreffen van openbare elektronische communicatienetwerken, openbare elektronische communicatiediensten, vertrouwensdiensten, registers voor topleveldomeinnamen en domeinnaamregistratiediensten.

Naast de essentiële en belangrijke entiteiten, zoals gedefinieerd in artikel 20 en 21 van de Letse cybersecurity wet, is deze ook van toepassing op kritieke infrastructuren van informatietechnologie.

Wat betekent dit voor mijn bedrijf?

1. Registratie

Elke entiteit dient middels een zelfbeoordeling te bepalen of die binnen het toepassingsgebied van de Letse cybersecurity wet valt. Het ministerie van Defensie voorziet hiervoor de NKDL-test, een online tool die u begeleidt door belangrijke factoren zoals de sector en de omvang van de entiteit. Uiterlijk op 1 april 2025 dient de entiteit het NCSC op de hoogte te stellen over de categorisatie als essentiële of belangrijke entiteit door middel van een registratieformulier. Volgende informatie dient u als essentiële of belangrijke entiteit aan het NCSC te bezorgen:

  • Naam en gegevens van de entiteit
  • Sector
  • Statutair adres
  • Lijst van essentiële en belangrijke diensten die worden verleend
  • Actuele contactgegevens van de entiteit/bestuurder
  • Lijst van landen waar de entiteiten diensten verleent
  • IP-adresbereik

Verdere informatie omtrent de registratie van uw entiteit, kan u hier raadplegen.

2. Beheersmaatregelen

Elke entiteit dient de risico’s op het gebied van cybersecurity in kaart te brengen en na te gaan welke gevolgen die kunnen hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van haar informatiesystemen. Op basis van deze analyse moet aan elk informatiesysteem een categorie worden toegekend: A (verhoogde beveiliging), B (basisbeveiliging) of C (minimale beveiliging). Dit gebeurt volgens de werkwijze die is vastgelegd in de verordening.

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen.

Zoals eerder vermeld, heeft Letland de NIS2-richtlijn reeds omgezet in nationale wetgeving, maar is er vertraging bij de vaststelling van de verordeningen van het kabinet van ministers waarin de specifieke technische en organisatorische cyberbeveiligingsvereisten worden vastgelegd.

Dit wil echter niet zeggen dat u vandaag nog niets kan ondernemen op vlak van de implementatie van beheersmaatregelen. Aangeraden is om alvast van start te gaan met het implementeren van de minimum set van beheersmaatregelen die opgenomen is in de NIS2-richtlijn:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen
  • Incidentenbeheer
  • Bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Cyberhygiëne en opleiding op het gebied van cyberbeveiliging
  • Beleid en procedures over het cryptografie en in voorkomend geval encryptie
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
  • Wanneer gepast, meerstapsverificatie, beveiligde communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit
  • Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden

Verder dient u als essentiële of belangrijke entiteit een cybersecurity manager aan te duiden die verantwoordelijk is voor de implementatie en monitoring van de cyber security maatregelen. De vereisten waaraan deze cybersecurity manager dient te voldoen, wordt bepaald door het kabinet.

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

3. Rapportageverplichting van significante incidenten

Belangrijke en essentiële entiteiten zijn verplicht de toezichthoudende autoriteiten in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de uitvoering van de diensten uit artikel 20 en 21 van de Letse cybersecurity wet affecteert.

Een incident wordt volgens de NIS2-richtlijn als significant beschouwd wanneer het:  

  • een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of 
  • andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken’ 

Het significante incident wordt door de essentiële en belangrijke entiteit telefonisch of via mail gemeld bij CERT.LV volgens volgende procedure: 

  1. onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit  een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen; 
  2. onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie update bevat en een initiële beoordeling van het incident;
  3. op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in;
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van: 
    • Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan; 
    • Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid; 
    • Toegepaste en lopende risicobeperkende maatregelen; 
    • De grensoverschrijdende gevolgen van het incident, indien van toepassing.
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend. 

De Europese Commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden. 

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de cybersecurity wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden. 

4. Verplichtingen en verantwoordelijkheden van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de cybersecurity wet en dienen verschillende verplichtingen na te komen waaronder:

  • Aanduiden van een cyber security manager die de implementatie van de cyber securitymaatregelen coördineert en superviseert, voor 1 oktober 2025;
  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen, minstens eenmaal per kalenderjaar
  • Voortdurend bijscholen van de werknemers van de cyber security entiteit op het gebied van cyber security

De bestuursorganen zijn aansprakelijk bij niet-naleving van de Letse cybersecurity wet.

5. Samenwerking met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?

Om te controleren of een entiteit voldoet aan de Letse cybersecurity wet, moet iedere entiteit een zelfevaluatie invullen. Deze moet voor 1 oktober 2025 worden ingediend bij de toezichthoudende autoriteit. In het zelfevaluatierapport, waarvoor de overheid een standaard formulier voorziet, geeft de entiteit aan welke regels worden gevolgd en hoe dit wordt aangepakt. Voor eigenaars en beheerders van belangrijke ICT-systemen en categorie A-informatiesystemen is dit rapport elk jaar verplicht. De andere organisaties dienen dergelijke zelfevaluatie eenmaal per drie jaar in te dienen.

Ook penetratietests en beveiligingsscans dienen worden uitgevoerd, voor klasse A-informatiesystemen is dit eenmaal per drie jaar verplicht.

Zoals aangegeven in het hoofdstuk ‘Sancties’ voeren de bevoegde autoriteiten inspecties uit bij de essentiële en belangrijke entiteiten op de naleving van de cybersecurity wet.

De entiteit kan een onafhankelijke cybersecurity audit laten uitvoeren door een geaccrediteerde Conformity Assessment Body (CAB). Op basis van deze onafhankelijke conformiteitsbeoordeling kan de entiteit een  certificaat behalen, waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders. Een belangrijke internationale standaard die hiervoor gehanteerd kan worden is ISO/IEC 27001. Ook kan de toezichthoudende autoriteit de essentiële en belangrijke entiteit verplichten dergelijke audit te laten uitvoeren.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

 

Handhaving en sancties

De bevoegde autoriteit voert inspecties uit op de naleving door cybersecurity entiteiten van de vereisten zoals bepaald in de cybersecurity wet. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Letse cybersecurity wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de uitvoering van leidinggevende functies tijdelijk verbieden, de entiteit verplichten bepaalde maatregelen te treffen enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële entiteit of van de wettelijke bezitter van kritieke infrastructuur van informatie- en communicatietechnologieën. Voor belangrijke entiteiten geldt een boete van maximaal 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet. Deze administratieve boetes worden opgelegd door het Nationaal Cybersecurity Centrum of het Bureau voor Grondwetsbescherming.

Tijdlijn

  • 14 december 2022: Europese NIS2-richtlijn wordt aangenomen
  • 16 januari 2023: Europese NIS2-richtlijn van kracht
  • 1 september 2024: Letse cybersecurity wet, treedt in werking
  • 1 april 2025: voltooien zelfevaluatie en registratie
  • 1 oktober 2025: aanstellen van een cybersecuritymanager
  • 1 oktober 2025: indienen van het eerste zelfevaluatierapport

Bevoegde autoriteiten

In Letland zijn verschillende autoriteiten betrokken bij de vormgeving en implementatie van het cybersecuritybeleid. De coördinatie en implementatie van deze beleidsmaatregelen zijn verdeeld over verschillende instanties, elk met specifieke verantwoordelijkheden.

Het Ministerie van Defensie is formeel verantwoordelijk voor het formuleren en uitvoeren van het nationale cybersecuritybeleid. Het Ministerie van Defensie ondersteunt de werkzaamheden van de Nationale Raad voor Informatietechnologiebeveiliging en de Commissie van Toezicht op Digitale Veiligheid.

Het Nationaal Cyber Security Centrum (NCSC) functioneert als centraal aanspreekpunt voor cybersecurityvraagstukken, bewaakt de implementatie van nationale cybersecurityvereisten en ontwikkelt initiatieven voor nationaal cybersecuritybeleid.

De Cyber Incident Response Institution van de Republiek Letland (CERT.LV) is verantwoordelijk voor het versterken van de IT-beveiliging door het verzamelen van incidentrapporten van cyberaanvallen.

Het Bureau voor Grondwetbescherming is een staatsveiligheidsdienst. De belangrijkste taken zijn inlichtingendiensten, contraspionage en de bescherming van staatsgeheimen.

Voor meer informatie over NIS2 in Letland kan u de website van het Ministerie van Defensie raadplegen.