Deze titel suggereert wellicht een afkeer van EU-bureaucratie en bemoeizucht, maar het tegendeel is het geval. In dit blog een hartenkreet van mij aan alle overheden en bedrijven in Nederland: verzet je tegen je bedrieglijke brein en stap tijdig op de Europese regeltrein.
Deze titel suggereert wellicht een afkeer van EU-bureaucratie en bemoeizucht, maar het tegendeel is het geval. Dit blog is een hartenkreet van mij aan alle overheden en bedrijven in Nederland: verzet je tegen je bedrieglijke brein en stap tijdig op de Europese regeltrein.
Het doet me goed mijn blog voor iBestuur weer op te pakken. Vanwege de drukte rondom mijn boek ‘De democratie crasht’ heb ik januari even overgeslagen maar nu is het tijd om de pen weer ter hand te nemen. Want ik wil het met u hebben over de Europese regeltrein.
Ik ben blij dat Nederland lid is van de Europese Unie en ik ben blij dat de Europese Commissie zich inzet om de grote en grensoverschrijdende vraagstukken in goede banen te leiden. Hierbij denk ik aan geopolitieke kwesties, handelsverdragen, de klimaataanpak, de energietransitie en de huisvesting van vluchtelingen. En uiteraard denk ik hierbij aan digitalisering.
Europese vuist maken
Want in een wereld waarin Amerikaanse technologiebedrijven machtiger zijn dan menig overheid en in een wereld waarin landen als China en Rusland het westen voortdurend aanvallen met cyberwapens, is het hard nodig een Europese vuist te maken. Niet alleen omdat ieder land, elk bedrijf en alle burgers te maken krijgen met digitale aanvallen maar ook omdat de onderliggende fysieke internetinfrastructuur –bestaande uit zeekabels, internetknooppunten, datacenters en glasvezelnetwerken- cruciaal is voor ons dagelijks leven. Energiecentrales, elektriciteitsnetwerken, verkeerssystemen, ziekenhuizen en het hele betalingsverkeer zijn immers allemaal verbonden met het internet.
Om dit samenhangende systeem te beschermen produceert de Europese Unie – onder de noemer ‘A Europe fit for the digital age’ – in hoog tempo regels op het gebied van cybersecurity. Hierbij kunt u onder meer denken aan de Cyber Security Act (voor één Europees certificeringsraamwerk), de Cyber Resilience Act (voor collectieve EU-veiligheidseisen) en de Digital Operation Resilience Act (voor veilig digitaal betalingsverkeer). Maar op dit moment het meest concreet is de tweede Network and Information Systems directive, oftewel: NIS2. Deze Europese richtlijn draait om een zorgplicht voor de bedrijfsinfrastructuur plus een meldplicht bij cyberincidenten. Belangrijke veranderingen ten opzichte van de huidige NIS1 zijn de uitbreiding van het aantal vitale sectoren (waaronder service providers) en een strenger toezicht op de governance, met hogere boetes bij onvoldoende naleving. In Nederland betekent dit dat zo’n 6.000 nieuwe bedrijven onder de NIS2 gaan vallen en dat de huidige NIS1-bedrijven hun huiswerk opnieuw zullen moeten doen.
Menigeen steekt zijn kop in het zand en hoopt dat het allemaal niet zo’n vaart zal lopen.
U ziet het, de Europese regeltrein is geen kinderachtig treintje met een paar wagonnetjes. Het is een lange trein met grote impact. Bovendien voert Europa de druk op en is het bijvoorbeeld de bedoeling dat NIS2 nog dit jaar wordt omgezet naar nationale wetgeving. We hebben het dus niet over een slome boemeltrein maar over een doordenderende goederentrein. De stoompluimen van de locomotief lijken nu nog ver weg maar vergis u niet: voor u het weet raast hij u voorbij.
Het zou dus logisch zijn als de meeste overheden en bedrijven tijdig beginnen met de voorbereidingen op het NIS2-tijdperk. Maar helaas, het tegendeel is het geval. Wat een aantal jaar geleden gebeurde met de Algemene Verordening Gegevensbescherming (de Europese privacywet AVG) lijkt bij de NIS2-richtlijn opnieuw te gaan gebeuren: menigeen steekt zijn kop in het zand en hoopt dat het allemaal niet zo’n vaart zal lopen. Deze valkuil der onderschatting wordt nog versterkt doordat digitalisering weinig tastbaar is en cyberdreigingen relatief abstract zijn. Waardoor we te optimistisch zijn en denken dat het ons niet zal overkomen. Deze dat-gebeurt-mij-niet-denkfout maakt dat we te passief zijn in het reageren op risico’s.
In ‘De democratie crasht’ ga ik uitgebreider in op Europese regelgeving die ons nadert en de wijze waarop technologie en psychologie op elkaar inspelen. In dit blog beperk ik me tot een hartenkreet aan alle overheden en bedrijven in Nederland: verzet je tegen je bedrieglijke brein en stap tijdig op de Europese regeltrein.
Kees Verhoeven is eigenaar Bureau Digitale Zaken, adviseur Digitale Transformatie bij Dutch Data Center Association (DDA), kernteamlid van de Online Trust Coalitie (OTC), voorzitter van de RvA van KNVI en voormalig lid Tweede Kamer voor D66. In januari 2023 kwam zijn boek ‘De democratie crasht’ uit.
Dag Kees, met jouw boek ‘De democratie crasht’ is dit werkelijkheid geworden.
Debat negeren van Kamermeerderheid op Europese digitale identiteit inbreng Pieter Omtzigt http://www.youtube.com/watch?v=jW3e
De democratie is met de actie van Van Huffelen dus daadwerkelijk gecrashd en de Tweede Kamer een debat club geworden.
Honderd procent eens. Overheden lopen achter op de goede Europese regelgeving op digitaal gebied. Het zou een goede zaak zijn als bv in de KamerCommissie ICT alle Europese IT wetten besproken worden op hun Nederlandse impact. Nog beter is het wanneer Nederland pro actief in Brussel meewerkt in tal van Commissies waar nieuwe Europese wetgeving wordt voorbereid
Waar nationale overheden niet kúnnen of wíllen handelen ( – uit eigen onkunde over digitalisering, uit argwaan voor alles wat men niet zelf bedacht heeft óf uit het prijzenswaardig besef dat digitalisering de landsgrenzen overstijgt, – ) is Europa goed bezig . Heel goed dat Verhoeven daar de aandacht op vestigt.
De Europese regeltrein mag dan wel indrukwekkend zijn met al zijn regels en richtlijnen, maar de gevaren van onvoldoende bewustzijn van deze reguleringtrein zijn groot. Als overheden en bedrijven niet tijdig beginnen met de voorbereidingen op de nieuwe richtlijnen zoals NIS2, kunnen zij het risico lopen om niet aan de nieuwe eisen te voldoen en dus niet in staat zijn om de veiligheid van hun systemen en diensten te waarborgen. Dit kan leiden tot aanzienlijke financiële schade, reputatieschade en zelfs tot het stilleggen van bedrijfsactiviteiten.
Bovendien kan het negeren van de Europese regelgeving gevolgen hebben voor de veiligheid van ons dagelijks leven. Cyberaanvallen op vitale sectoren, zoals energiecentrales, verkeerssystemen en ziekenhuizen, kunnen leiden tot grote ontwrichting en mogelijk zelfs tot menselijk leed. Het is daarom van cruciaal belang dat alle betrokken partijen zich bewust zijn van de gevaren en de verantwoordelijkheid nemen om hun systemen en diensten te beschermen.
Daarnaast kan het negeren van Europese regelgeving ook gevolgen hebben voor de positie van Nederland in de Europese Unie. Als Nederland niet voldoet aan de nieuwe richtlijnen, kan dit leiden tot frictie met andere EU-landen en zelfs tot sancties. Dit kan leiden tot isolatie en een verzwakking van de positie van Nederland in de EU.
Kortom, het is van groot belang dat overheden en bedrijven in Nederland zich bewust zijn van de Europese regeltrein en tijdig beginnen met de voorbereidingen op de nieuwe richtlijnen. Dit is niet alleen belangrijk voor de veiligheid van systemen en diensten, maar ook voor de positie van Nederland in de Europese Unie en de bescherming van ons dagelijks leven.