Cyberbeveiligingswet (NIS2) treedt in tweede of derde kwartaal 2025 in werking
De Nederlandse implementatie van de Europese richtlijn voor verbetering van cybersecurity komt pas in het tweede of derde kwartaal van volgend jaar rond. De Cyberbeveiligingswet voor ons land zal naar verwachting dan in werking treden. Dit meldt de demissionaire minister van Justitie en Veiligheid samen met de demissionaire minister van Klimaat en Energie in antwoord op Kamervragen.
Dreigingsbeeld voor offshore platforms
De Kamervragen in kwestie betreffen de (cyber)veiligheid van Nederlandse offshore olie- en gasplatforms. Daarbij wordt gevraagd naar het actuele dreigingsbeeld en genomen beveiligingsmaatregelen voor offshore-installaties, zoals olie- en gasplatforms maar ook windmolenparken in de Nederlandse Noordzee. Dit mede in het licht van de aanstaande intensivering van gasboring, maar ook van groeiend vermogen en dus grotere afhankelijkheid van offshore windmolens.
In de antwoorden schrijven demissionaire ministers Jetten (Klimaat en Energie) en Yesilgöz-Zegerius (Justitie en Veiligheid) dat er diverse samenwerkingsverbanden zijn en dat er verschillende maatregelen zijn genomen. Dit betreft publiek-private, nationale en ook internationale verbanden en voorzieningen, plus militaire samenwerkingen.
Meer cyberveiligheidseisen
Hierbij komt ook de cybersecurityrichtlijn NIS2 van de Europese Unie om de hoek kijken en de – verlate – Nederlandse implementatie daarvan. ‘Als gevolg van de herziening van de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2-richtlijn) zullen meer energiebedrijven dan nu het geval is in de toekomst moeten voldoen aan wettelijke verplichtingen in relatie tot de beveiliging van hun netwerk- en informatiesystemen,’ schrijven de demissionaire bewindspersonen.
‘Specifiek betekent dit dat bijvoorbeeld elektriciteitsbedrijven met productie-installaties (met uitzondering van micro- en kleine bedrijven) onder de verplichtingen in NIS2-richtlijn zullen komen te vallen. De uit de NIS2-richtlijn voortvloeiende verplichtingen bestaan uit een meldplicht bij significante incidenten en een plicht om passende maatregelen te nemen om risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. Hierbij dient ook rekening gehouden te worden met risico’s die afkomstig zijn van leveranciers.’
Deadline flink overschreden
Vervolgens laten Jetten en Yesilgöz-Zegerius weten: ‘Ter implementatie van NIS2-richtlijn zal naar verwachting in het tweede of derde kwartaal van 2025 de Cyberbeveiligingswet in werking treden.’ Daarmee wordt de door de EU gestelde deadline voor implementatie in nationale wetgeving flink overschreden. Begin dit jaar heeft de demissionaire minister van Justitie en Veiligheid al laten weten dat de deadline van 17 oktober dit jaar niet gehaald gaat worden.
Consultatie in gang gezet
‘Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht’, schreef de VVD-politica in een brief aan de Tweede Kamer. Inmiddels is de consultatie over NIS2 van start gegaan, wat loopt tot 2 juli. Daarna moet de vergaarde feedback nog verwerkt worden.
Netcode
Naast NIS2 spelen er voor de energiesector nog andere veranderingen voor (betere) cybersecurity, blijkt uit de antwoorden nu van de twee demissionaire ministers. Naast het omzetten van die Europese cybersecurityrichtlijn in Nederlandse wetgeving wordt er ook ‘gewerkt aan de implementatie van de sectorspecifieke gedelegeerde handeling over grensoverschrijdende cybersecurity in de elektriciteitssector (Netcode)’.
‘De Netcode stelt (ten opzichte van NIS2 concretere) bindende grensoverschrijdende cybersecurityvoorschriften vast voor elektriciteitsentiteiten die, wanneer zij mikpunt zouden worden van een cyberaanval, een risico vormen voor de stabiliteit van het Europese elektriciteitsnet.’ Deze Netcode zal naar verwachting in het vierde kwartaal van dit jaar in werking treden, schrijven Jetten en Yesilgöz-Zegerius.
Lees ook:
- Internetconsultatie Cyberbeveiligingswet (NIS2) van start – iBestuur
- JenV: Naleving van cybersecuritywet NIS2 voorlopig niet afdwingbaar – iBestuur
- Nederlandse overheid haalt NIS2-implementatiedeadline niet – iBestuur