JenV: Naleving van cybersecuritywet NIS2 voorlopig niet afdwingbaar

Dat Nederland de deadline niet haalt voor het omzetten van de Europese cybersecurityrichtlijn NIS2 in nationale wetgeving heeft in de praktijk consequenties. Één daarvan is dat “de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar” is, antwoordt het ministerie van Justitie en Veiligheid op vragen van onze collega  AG Connect. Een ander gevolg is dat de Europese Commissie mogelijk een boete oplegt.

Op de valreep van januari is officieel naar buiten gekomen dat de Nederlandse overheid er niet in gaat slagen om de EU-richtlijn voor betere cybersecurity te implementeren in wetgeving voor ons land. De voorbereidende stappen voor de consultatie over deze Nederlandse implementatie loopt uitstel op. Daardoor wordt de deadline van 17 oktober níet gehaald, heeft demissionair minister Yeşilgöz-Zegerius laten weten.

Het ministerie van Justitie en Veiligheid geeft nu aan dat de verlate implementatie als gevolg heeft dat de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar zal zijn.

“Het wetsvoorstel regelt nieuwe beveiligingseisen en toezicht voor organisaties van maatschappelijk belang en zorgt ervoor dat zij kunnen rekenen op ondersteuning. Gelet op het dreigingslandschap (zoals bijvoorbeeld geschetst in het Cybersecuritybeeld Nederland 2023) en de daaruit volgende risico’s is het van belang dat bedrijven en organisaties hier weerbaar tegen zijn.”

‘Extra tijd benutten’

De woordvoering van Justitie stelt wel optimistisch dat het NIS2-uitstel niet hoeft te betekenen dat bedrijven nog niet aan de slag kunnen gaan. Zij kunnen zeker al maatregelen nemen om hun cyberbeveiliging te verbeteren. “Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen en aanvullen door deze te detecteren, te monitoren, op te lossen en te melden.”

“Door de tussenliggende periode tussen inwerkingtreding Europese richtlijnen en Nederlandse wetgeving hebben organisaties extra tijd om zich goed voor te bereiden.” Of dat in de praktijk ook zo zal uitpakken is de vraag. Bij eerdere nieuwe wetten en regels voor bijvoorbeeld cookieplaatsing en dataprotectie werd er in de praktijk ook niet bepaald een goede voorsprong genomen.

Complexe trajecten

De Nederlandse overheid is ondertussen ook bezig met de CER-richtlijn (Critical Entities Resilience), die ook de deadline van 17 oktober niet gaat halen. “De implementatie van de zowel de CER- als de NIS2-richtlijn is een omvangrijk en complex traject vanwege de grote hoeveelheid partijen die betrokken zijn bij de totstandkoming van deze wetgeving”, geeft de woordvoering van Justitie en Veiligheid aan.

“Naast de complexiteit is ook de impact van de richtlijnen groter ten opzichte van de NIS1-richtlijn. De NIS2-richtlijn is van toepassing op meer sectoren en meer organisaties, en daarnaast wordt er ook meer van de organisaties gevraagd. Namelijk een zorgplicht (beveiligingseisen) en meldplicht bij incidenten. Tot slot heeft het ook voor de overheid een grote impact, vanwege de uitbreiding van het toezicht en ondersteuningstaken.”

Mogelijk EC-boete

Het ministerie erkent dat het mogelijk is dat Nederland beboet gaat worden voor het niet behalen van de deadline. “De Europese Commissie beschouwt niet-tijdige implementatie van EU-wetgeving als een ernstige inbreuk op het Unierecht. Zodra de implementatietermijn voor een richtlijn is verstreken, ontvangen lidstaten die de richtlijn niet hebben omgezet automatisch een ingebrekestelling.”

Lees ook:

• Nederlandse overheid haalt NIS2-implementatiedeadline niet -iBestuur
• Implementatie NIS2: van papier naar uitvoering – iBestuur
• NIS2: Risicoanalyse aan de voorkant is essentieel – iBestuur