Digitale weerbaarheid
Nieuws

JenV: Naleving van cybersecuritywet NIS2 voorlopig niet afdwingbaar

De conceptwetsvoorstellen voor de invoering van de cybersecuritywet NIS2 worden voor de zomer in consultatie gebracht. | Beeld: Shutterstock

Dat Nederland de deadline niet haalt voor het omzetten van de Europese cybersecurityrichtlijn NIS2 in nationale wetgeving heeft in de praktijk consequenties. Één daarvan is dat “de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar” is, antwoordt het ministerie van Justitie en Veiligheid op vragen van onze collega  AG Connect. Een ander gevolg is dat de Europese Commissie mogelijk een boete oplegt.

Op de valreep van januari is officieel naar buiten gekomen dat de Nederlandse overheid er niet in gaat slagen om de EU-richtlijn voor betere cybersecurity te implementeren in wetgeving voor ons land. De voorbereidende stappen voor de consultatie over deze Nederlandse implementatie loopt uitstel op. Daardoor wordt de deadline van 17 oktober níet gehaald, heeft demissionair minister Yeşilgöz-Zegerius laten weten.

Het ministerie van JenV, dat regie voert over de vertaling van de EU-richtlijn in Nederlandse wetgeving, geeft aan er naar te streven om de conceptwetsvoorstellen voor de zomer 2024 in consultatie te brengen. ‘Na verwerking van de consultatiereacties zullen de wetsvoorstellen worden voorgelegd aan de Raad van State voor advies. Het streven is dat het in het najaar van 2024 aan de Kamer wordt aangeboden voor parlementaire behandeling.”

Naleving niet wettelijk afdwingbaar

Het ministerie van Justitie en Veiligheid geeft nu aan dat de verlate implementatie als gevolg heeft dat de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar zal zijn.

“Het wetsvoorstel regelt nieuwe beveiligingseisen en toezicht voor organisaties van maatschappelijk belang en zorgt ervoor dat zij kunnen rekenen op ondersteuning. Gelet op het dreigingslandschap (zoals bijvoorbeeld geschetst in het Cybersecuritybeeld Nederland 2023) en de daaruit volgende risico’s is het van belang dat bedrijven en organisaties hier weerbaar tegen zijn.”

‘Extra tijd benutten’

De woordvoering van Justitie stelt wel optimistisch dat het NIS2-uitstel niet hoeft te betekenen dat bedrijven nog niet aan de slag kunnen gaan. Zij kunnen zeker al maatregelen nemen om hun cyberbeveiliging te verbeteren. “Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen en aanvullen door deze te detecteren, te monitoren, op te lossen en te melden.”

 

De Europese Commissie beschouwt niet-tijdige implementatie van EU-wetgeving als een ernstige inbreuk op het Unierecht.
Ministerie JenV

“Door de tussenliggende periode tussen inwerkingtreding Europese richtlijnen en Nederlandse wetgeving hebben organisaties extra tijd om zich goed voor te bereiden.” Of dat in de praktijk ook zo zal uitpakken is de vraag. Bij eerdere nieuwe wetten en regels voor bijvoorbeeld cookieplaatsing en dataprotectie werd er in de praktijk ook niet bepaald een goede voorsprong genomen.

Complexe trajecten

De Nederlandse overheid is ondertussen ook bezig met de CER-richtlijn (Critical Entities Resilience), die ook de deadline van 17 oktober niet gaat halen. “De implementatie van de zowel de CER- als de NIS2-richtlijn is een omvangrijk en complex traject vanwege de grote hoeveelheid partijen die betrokken zijn bij de totstandkoming van deze wetgeving”, geeft de woordvoering van Justitie en Veiligheid aan.

“Naast de complexiteit is ook de impact van de richtlijnen groter ten opzichte van de NIS1-richtlijn. De NIS2-richtlijn is van toepassing op meer sectoren en meer organisaties, en daarnaast wordt er ook meer van de organisaties gevraagd. Namelijk een zorgplicht (beveiligingseisen) en meldplicht bij incidenten. Tot slot heeft het ook voor de overheid een grote impact, vanwege de uitbreiding van het toezicht en ondersteuningstaken.”

Mogelijk EC-boete

Het ministerie erkent dat het mogelijk is dat Nederland beboet gaat worden voor het niet behalen van de deadline. “De Europese Commissie beschouwt niet-tijdige implementatie van EU-wetgeving als een ernstige inbreuk op het Unierecht. Zodra de implementatietermijn voor een richtlijn is verstreken, ontvangen lidstaten die de richtlijn niet hebben omgezet automatisch een ingebrekestelling.”

 

Lees ook:

  • P.J. Westerhof LL. MIM | 16 februari 2024, 18:20

    Het klinkt allemaal heel dramatisch. Maar feitelijk is het een herhaling van de exercitie rond de de compliance voor de Algemene Verordening Gegevensbescherming. Welke 8 jaar na dato nog steeds niet op orde is. Met daarbij de interessante overlap tussen AVG en NIS2.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren