Nederland is niet alleen erg laat met een eigen wetsvoorstel voor de nieuwe cyberbeveiligingsrichtlijn NIS2, ook ziet Louise de Gier dat het hoofdstuk over governance nog aangepast moet worden, Zij betwijfelt of met dit governance-artikel wel het basisniveau wordt gehaald waar NIS2 van uitgaat.
Cybercrime is een van de grootste bedreigingen voor organisaties wereldwijd. De Europese Unie heeft al in 2016 een richtlijn opgesteld die Europa weerbaarder moet maken tegen cybercrimebedreigingen. Deze richtlijn bood niet de juiste regelgeving om de steeds grotere uitdagingen op het gebied van cybercrime tegen te gaan. Bovendien is de richtlijn op zeer uiteenlopende wijze uitgevoerd door de verschillende lidstaten, wat leidde tot versnippering van de Europese markt. Daarom is een nieuwe richtlijn (NIS2) opgesteld die de te grote verschillen moet wegwerken en netwerk- en informatiesystemen binnen Europa beter moet beveiligen. NIS2 geldt voor veel meer sectoren dan de oude richtlijn: in totaal 18, zoals energie, gezondheidszorg, vervoer, digitale infrastructuur, beheer van ICT-diensten, overheid en fabrikanten van bepaalde producten.
De nieuwe cyberbeveiligingsrichtlijn moet in alle Europese lidstaten zijn ingevoerd in oktober 2024. Nederland is te laat. Dat wordt hier waarschijnlijk begin 2025.
Op tijd zijn
Het is de vraag of het Duitsland lukt op tijd te zijn. België is wel op tijd. België is het enige land van de drie waar het wetsvoorstel definitief is. Duitsland heeft in mei 2024 alweer het vierde wetsvoorstel gepubliceerd. In Nederland loopt de internetconsultatie voor het eerste wetsvoorstel. Partijen uit de markt kunnen hun commentaar geven op het wetsvoorstel tot 1 juli a.s.
De nieuwe cyberbeveiligingsrichtlijn gaat uit van een basis niveau. Lidstaten kunnen verplichtingen vaststellen of handhaven die een hoger cyberbeveiligingsniveau waarborgen maar niet een lager niveau. Een ander belangrijk doel is het verhogen van de cyberhygiëne. Organisaties moeten intern een cultuur van risicobeheer ontwikkelen en bevorderen.
Nieuw is dat het bestuur maatregelen moet nemen voor het beheren van cyberbeveiligingsrisico’s. Het bestuur moet toezien op de uitvoering en het kan aansprakelijk worden gesteld als het niet aan deze verplichtingen voldoet. Ook moet het bestuur opleidingen volgen zodat het voldoende kennis krijgt op het gebied van cybermanagement.
Voldoende kennis
In de Nederlandse memorie van toelichting bij het wetsvoorstel wordt terecht gesteld dat de Europese cyberbeveiligingsrichtlijn in hoge mate een beroep doet op de verantwoordelijkheid van het bestuur voor het nemen van risicobeheersmaatregelen op het gebied van cyberbeveiliging en dat het bestuur vanuit een voorbeeldfunctie cyberbewustheid moet uitdragen en werknemers moet aanmoedigen trainingen te volgen. Vervolgens wordt gesteld dat op het bestuur de verplichting rust vanaf de inwerkingtredingsdatum van de wet over voldoende kennis en vaardigheden te beschikken over cyberbeveiliging.
Het Nederlandse wetsvoorstel wijkt af van wat er in de memorie van toelichting wordt gesteld en lijkt daarmee zelfs in strijd te zijn. Het bestuur moet pas twee jaar na inwerkingtreding van de wet over kennis en vaardigheden beschikken en bij een benoeming van een bestuurslid na de inwerkingtreding pas twee jaar na de benoeming. Dit kan in theorie betekenen dat als bestuursleden binnen twee jaar van functie veranderen, bestuursleden tot in lengte van jaren niet over de vereiste cyberbeveiligingskennis en vaardigheden hoeven te beschikken. Je zou dit kunnen oplossen door te stellen dat bestuursleden twee jaar na de eerste benoeming na de inwerkingtreding over de vereiste kennis en vaardigheden moeten beschikken. Bij een werkstop van meer dan een jaar gaat de termijn van twee jaar opnieuw lopen.
Aansprakelijk stellen van bestuurders
Het lijkt erop dat er voor gekozen is om vele betrokken partijen tegemoet te komen maar ik vraag me af of Nederland op deze manier wel voldoet aan het minimum niveau van de Europese Cyberbeveiligingsrichtlijn. Ook omdat in het voorstel niet expliciet is opgenomen dat het bestuur aansprakelijk kan worden gesteld als het niet de vereiste cyberbeveiligingsmaatregelen neemt. Er wordt alleen gesteld: “Het bestuur ziet toe op de maatregelen en de uitvoering van de maatregelen.” Mogelijk dat aansprakelijkheidstelling nog uitgewerkt wordt in uitvoerende regelgeving. In de MvT van de wet wordt wel melding gemaakt van sanctionering van het bestuur.
In de Nederlandse wet zou moeten worden bepaald dat ieder lid van het bestuur ervoor zorgdraagt dat het over de benodigde kennis en vaardigheden beschikt op het moment van de inwerkingtreding van de wet en niet pas twee jaar later. Het bestuur moet daarvoor trainingen volgen en zijn personeel trainingen aanbieden om het cyberbewustzijn te vergroten en kennis en vaardigheden te verkrijgen die passend zijn bij de functie van de personeelsleden. Niet ieder personeelslid heeft dezelfde kennis nodig. Zoals gesteld in de MvT heeft het bestuur een voorbeeldfunctie. Dit blijkt niet uit de huidige redactie van de wet.
De extra termijn van 2 jaar moet mijns inziens niet gelden voor de kennis en vaardigheden van het bestuur maar zou wel kunnen gelden voor het certificaat van deelname aan trainingen dat bestuursleden volgens het Nederlandse wetsvoorstel moeten overleggen om aan te tonen dat zij de juiste kennis en vaardigheden hebben. Op deze manier is de bepaling met betrekking tot de verantwoordelijkheden en aansprakelijkheden meer in lijn met de richtlijn en ook meer in lijn met de Duitse en Belgische wetsvoorstellen.
Onderlinge verschillen
Duitsland en België zijn met 240 miljard aan exportomzet de belangrijkste exportlanden van Nederland. Gezien het doel van de richtlijn is het dan ook belangrijk dat er niet te grote onderlinge verschillen zijn tussen de regelgeving van de verschillende landen.
Voorkomen moet worden dat internationale organisaties die ook vestigingen hebben in bijvoorbeeld België en/of Duitsland vanwege de uitgestelde verantwoordelijkheden van het bestuur, zoals geformuleerd in het Nederlandse wetsvoorstel, het beslissende beleid over cyberbeveiligingsrisico’s gaan verplaatsen naar Nederland omdat volgens de het Nederlandse wetsvoorstel dan de Nederlandse wet van toepassing is.
Wetsvoorstellen Nederland, België en Duitsland
Nederlands wetsvoorstel (eerste concept):
- Bestuursleden moeten binnen twee jaar na inwerkintreding van de Nederlandse wet de kennis en vaardigheden hebben om de vereiste maatregelen op het gebied van cybermanagement te nemen;
- Bestuursleden moeten hun kennis aantoonbaar actueel houden en door middel van een certificaat van deelname aantonen over de benodigde kennis en vaardigheden te beschikken;
- Bestuursleden die benoemd worden jaar na de inwerkingtreding van het vereiste om over cybermanagement kennis en vaardigheden te beschikken, moeten binnen 2 jaar na hun benoeming over de vereiste kennis en vaardigheden beschikken;
- Het bestuur ziet toe op de maatregelen en de uitvoering van de maatregelen.
Belgisch wetsvoorstel (definitief):
- Bestuursleden volgen een opleiding zodat ze over voldoende kennis en vaardigheden beschikken om de vereiste maatregelen op het gebied van cybermanagement te nemen;
- Er wordt geen (uitstel)termijn vermeld;
- Het bestuur keurt de maatregelen goed en ziet toe op de uitvoering ervan en is aansprakelijk voor inbreuken door organisaties op de vereiste maatregelen;
Duits wetsvoorstel (vierde concept):
- Bestuursleden moeten regelmatig opleidingen volgen om over voldoende kennis en vaardigheden te beschikken om de vereiste maatregelen op het gebied van cybermanagement te nemen.
- Bestuursleden zien toe op goedkeuring en uitvoering van de maatregelen;
- Vrijwaringen van organisaties voor claims tegen hun bestuursleden omdat de bestuursleden de vereiste maatregelen niet goedkeuren of niet uitvoeren zijn ongeldig;
- Er wordt geen (uitstel)termijn vermeld.
Met dank aan Bernd Fiten van Timelex, België en Lukas Mezger van Unverzagt, Duitsland
Dit artikel was eerder te lezen bij AG Connect.