Nederlandse overheid haalt NIS2-implementatiedeadline niet
De voorbereiding voor de consultatie over de Nederlandse implementatie van deze Europese cybersecurityrichtlijn loopt uitstel op. Hierdoor wordt de deadline van 17 oktober niet gehaald, schrijft demissionair minister Yeşilgöz-Zegerius in een brief aan de Tweede Kamer. De nieuwe regels gelden echter dan al wel.
“Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht”, schrijft de minister. Pas tegen de zomer zullen de conceptwetsvoorstellen in consultatie worden gebracht. Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeer ik dat de implementatiedeadline van de Europese Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald”, geeft Yeşilgöz-Zegerius toe.
De consultatieronde is namelijk slechts één van de vereiste stappen in het hele proces om de wetgeving voor versterking van cybersecurity te realiseren. “Na verwerking van de consultatiereacties zullen de wetsvoorstellen aan de Afdeling advisering van de Raad van State worden voorgelegd voor advies. Ik streef ernaar de wetsvoorstellen vervolgens in het najaar van dit jaar aan uw Kamer aan te bieden.”
Ook al loopt de invoering van de Europese richtlijn in de Nederlandse wetgeving vertraging op, de nieuwe regels gelden dan al wel. Security-expert Brenno de Winter benadrukt tegen AG Connect dat de inwerkingtreding echt niet opschuift. “Het feit dat de implementatie er niet is, betekent niet dat de NIS2 niet ingaat en dat de verplichtingen voor organisaties er niet gaan zijn. Daar zijn ze ook op aanspreekbaar”, waarschuwt hij.
De druk is niet van de ketel
“Het betekent natuurlijk wel dat het ingrijpen door een toezichthouder op zich laat wachten. Maar ik zou dit niet zien als een adempauze. De lat gaat flink omhoog. Dat verandert niet. Er gaat dus ook geen druk van de ketel”, aldus de rapporteur bij de departementaal CISO van het ministerie van Volksgezondheid, Welzijn en Sport (VWS).
“Het zal voor overheden en bedrijven veel betekenen, variërend van het bekwamen van het bestuur tot het deugdelijk inrichten van de omgevingen. Zaken als Business Continuity Management, die werden afgedaan als niet voor de wereld, worden nu opeens verplicht. Kortom: er ligt een enorme druk waar veel organisaties niet omheen kunnen. Het duurt misschien een jaartje, maar dan gaan de bestuurders wel worden aangesproken.”
Ook bedrijven willen meer duidelijkheid
“NIS2 is een Europese directive die ingaat op 17 oktober, of de lokale implementatiewet er nu is of niet”, zegt CISO Frank Breedijk tegen AG Connect. “En dat is nu net waar de schoen wringt. Nederlandse bedrijven moeten gaan voldoen aan een wet waarvan we niet precies weten hoe hij in Nederland wordt geïmplementeerd”, zegt de securitytopman van Schuberg Philis. Hij meent dan ook dat dit uitstel (van implementatie in de Nederlandse wet) een slechte zaak is. “Bedrijven in Europa moeten zich eraan houden, zeker als ze in andere EU-landen opereren, maar de implementatiewet, de tekst die zegt waar je je dan precies aan moet houden, ontbreekt.” En dat terwijl er onder Nederlandse bestuurders al onduidelijkheid is over deze aankomende cybersecuritywet.
