Regelgeving NIS2 niet op tijd omgezet naar Nederlandse wetten
De Europese regelgeving die cybersecurity en digitale weerbaarheid van onder meer essentiële diensten verbeteren had vandaag, 17 oktober 2024, in werking moeten treden, maar de regelgeving is niet op tijd omgezet naar Nederlandse wetten. Nederland heeft de deadlines voor NIS2 en CER niet gehaald.
Het streven van de overheid blijft om de Nederlandse implementatie van NIS2 in het derde kwartaal van 2025 rond te hebben. Hetzelfde geldt voor de CER-richtlijn. Daarmee is een bereik van juli tot september in zicht, voor de twee Europese reguleringen die per 17 oktober 2024 in nationale wetgeving vertaald moeten zijn. De gevolgen van deze deadlineschending door Nederland worden nu in een Kamerbrief uiteengezet. Verplichtingen gelden niet, rechten wel.
‘Zoals eerder gecommuniceerd, komt de vertraging doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is’, schrijft minister David van Weel, van Justitie en Veiligheid. ‘De impact voor Nederlandse organisaties is aanzienlijk en er zijn ten opzichte van bestaande wetgeving meer sectoren en meer organisaties die moeten voldoen aan de nieuwe wetgeving. Daarnaast hecht ik grote waarde aan het zorgvuldig verwerken van de circa 150 reacties die zijn binnengekomen tijdens de internetconsultatie en de interdepartementale afstemming hierover.’
Voorlopig vrijwillige acties
NIS2 en CER worden momenteel nog omgezet in Nederlandse wetten, respectievelijk de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Van Weel stelt in zijn Kamerbrief dat beide wetten een belangrijke basis zullen vormen voor het cybersecuritystelsel en de weerbaarheid van de vitale infrastructuur. Daarom zijn ze “van grote waarde voor het verhogen van de weerbaarheid van ons land”.
Het niet halen van de implementatiedeadline betekent niet dat er nu niets aan de orde is. ‘Ondanks de vertraging in de omzetting van de richtlijnen worden organisaties, die onder de wetten komen te vallen, daarom door betrokken ministeries al benaderd en gewezen op de maatregelen die ze nu al kunnen treffen.’ Dat betreft dan echter wel vrijwillige acties, ter bevordering van de cyberbeveiliging, want verplichtingen vanuit NIS2 (en ook CER) zijn niet van toepassing, tót de inwerkingtreding van de aankomende nieuwe wetten.
Recht op hulp bij hacks
Naast verplichtingen spelen er ook rechten en die nu al wel gelden. ‘Daarnaast zullen verschillende organisaties, in verband met de hieronder toegelichte rechtstreekse werking van enkele bepalingen uit de NIS2-richtlijn, al per 17 oktober 2024 bepaalde rechten hebben, zoals het recht op bijstand van een Computer Incident Response Team (CSIRT) bij cyberincidenten.’ Justitie-minister Van Weel stelt dat hij zo probeert de gevolgen van de vertraging te beperken voor de weerbaarheid van Nederland.
Lees ook:
Het is duidelijk dat de vertraging bij de implementatie van de NIS2 en CER-richtlijnen complexiteit en onzekerheid met zich meebrengt, maar dit neemt niet weg dat organisaties het zich niet kunnen veroorloven om te wachten. Je moet het naleven van NIS2 niet zien als iets dat uiteindelijk wordt opgelegd door de overheid, maar als iets dat inherent is aan goede bedrijfsvoering – het is een kwestie van basis-datahygiëne. De enige reden waarom je zou willen wachten op wetgeving is om de rekening van het eigen falen sowieso af te wentelen op de Belastingbetaler en dat is domweg onethisch.
In een tijdperk waarin samenlevingen en economieën steeds meer afhankelijk zijn van digitale infrastructuren, is de beveiliging van deze digitale assets allang geen kwestie meer van keuze, maar van absolute noodzaak. Het implementeren van adequate cyberveiligheid en weerbaarheidsmaatregelen zorgt niet alleen voor bescherming tegen mogelijke beveiligingsincidenten en bedreigingen, maar verbetert ook de reputatie van organisaties bij hun klanten, biedt zakelijke stabiliteit en kan zelfs concurrentievoordeel opleveren. Zeker in een tijd van collaboratieve supply chains. Je mag het als organisatie ook gewoon van de organisaties om je heen verifiëren en zelfs (upstream) eisen dat ze de boel op orde hebben. Tot in de 3e en 4e factor. Het wachten op wetgeving om deze maatregelen verplicht te stellen, kan schadelijk zijn. Geen proactieve actie stelt organisaties onnodig bloot aan vermijdbare risico’s en potentiële schade. De tech is er allang om dat meteen goed en real time aan te opakken. Aan de andere kant, zelfs zonder de verplichting opgelegd door de wet, zal het implementeren van deze maatregelen zorgen voor een hoger niveau van vertrouwen van andere organisaties, partners en klanten. De mate van integriteit en verantwoordelijkheidsgevoel die een organisatie laat zien door proactieve maatregelen te nemen op het gebied van cybersecurity en digitale weerbaarheid, is een positief teken voor alle stakeholders, waaronder werknemers, klanten, leveranciers en investeerders.
Niet wachten. Doen!