Van Weel verwijst naar andere landen bij vertraging NIS2
Het lukt Nederland tot dusver niet om de NIS2-richtlijn door te voeren, maar het land is daarin zeker niet de enige, zegt minister Van Weel. Ook andere EU-landen lopen vertraging op. Landen die wel op tijd zijn, worden ervan verdacht dat dit vooral op papier zo is, maar niet in de werkelijkheid.
Vertragingen elders
Minister Van Weel (Justitie en Veiligheid, VVD) sprak tijdens een informeel beraad in Warschau meerdere EU-collega’s, die hem vertelden dat zij vertraging oplopen bij een zorgvuldige implementatie van de NIS2-richtlijn, net als Nederland. Die opgedane inzichten wilde hij in ‘alle openheid’ met de Kamer delen, aldus de VVD-minister woensdag in debat met de vaste Kamercommissie Digitale Zaken.
De NIS2-richtlijn staat voor Europese regelgeving die de cybersecurity en digitale weerbaarheid van onder meer essentiële en vitale diensten moet verbeteren. De NIS2, en overigens ook de CER-richtlijn, zouden op 17 oktober vorig jaar in werking hebben moeten treden, maar Nederland miste die deadline. De overheid streeft ernaar om de richtlijnen in het derde kwartaal van dit jaar om te zetten naar Nederlandse wet- en regelgeving in de Cyberbeveiligingswet, waarmee de implementatie voltooid zal zijn.
Papieren exercitie
De vertraging treedt dus ook elders in de EU op. Tegelijkertijd zijn er ook al landen die zeggen de NIS2-richtlijn al wel te hebben geïmplementeerd. Maar die worden er door andere landen van verdacht dat dit niet meer is dan een ‘papieren exercitie’, sprak Van Weel. ‘Daarbij wil ik overigens niets afdoen aan de landen die wel op tijd zijn,’ voegde hij er aan toe, ‘maar het gaf mij wel inzicht in hoe serieus deze exercitie is. Dit is echt een groot traject en er komt heel veel bij kijken.’
Sectoroverstijgende communicatie
Van Weel doet er naar eigen zeggen alles aan om de regeldruk en last bij organisaties zoveel klein mogelijk te houden bij de implementatie. Met de NIS2-quickscan, ontwikkeld door de Rijksinspectie Digitale Infrastructuur, kunnen organisaties zich, op basis van adviezen en tips, nu al voorbereiden op cyberveiligheidswetgeving. ‘Daarnaast zetten we proactief in op sectoroverstijgende communicatie om elke sector goed te informeren.’
Vorig jaar oktober gaf Van Weel al aan dat hij de gevolgen van de gemiste deadline zoveel mogelijk wil beperken. ‘Ondanks de vertraging in de omzetting van de richtlijnen worden organisaties die onder de wetten komen te vallen daarom door betrokken ministeries al benaderd en gewezen op de maatregelen die ze nu al kunnen treffen,’ aldus Van Weel in een Kamerbrief. Het gaat hierbij dan om vrijwillige acties ter bevordering van de cyberbeveiliging. Immers, verplichtingen die voortkomen uit de NIS2- en CER-richtlijnen zijn tot de inwerkingtreding van de aankomende nieuwe wetten nog niet van toepassing.
Kamerleden zetten in het debat woensdag verder geen druk op de minister om het implementatieproces te versnellen, terwijl er april vorig jaar wel ergernis en frustratie beviel te bespeuren over de vertraging bij de implementatie van NIS-2. Toenmalig minister van Economische Zaken Micky Adriaansens werd stevig aan de tand gevoeld over onder meer de gebrekkige voorbereiding.
Sturing op quantum
Tijdens het debat kwamen ook nog andere onderwerpen binnen de cyberveiligheid- en weerbaarheid aan bod. Zoals de dreiging van quantumtechnologie waar vorige week ook al over werd gesproken in de Kamercommissie Digitale Zaken. Quantumcomputers zijn namelijk in staat om in de toekomst huidige encryptietechnieken te omzeilen met alle cyberrisico’s van dien, ook voor vitale sectoren. Van Weel vindt het belangrijk dat organisaties dit risico oppakken en dat ze eigen passende maatregelen treffen om de quantumdreiging het hoofd te kunnen bieden.
Kamerlid Koekkoek (VOLT) vond het antwoord van de minister duidelijk niet toereikend. Ze wilde weten of de huidige aanpak wel voldoende is: ‘Is er niet enige sturing bij nodig?’ ‘Ik ga daar serieus naar kijken,’ zei Van Weel daarop. ‘Voor veel bedrijven zal quantum wat betreft encryptie niet het allergrootste probleem zijn. Wel waar het gaat om aanvallen van quantumcomputers op complexe netwerken. Al denk ik niet dat dit al op dag één gebeurt.’
Cyberweerbaarheidskloof
In het staartje van het debat waren er nog stekeligheden tussen GroenLinks-PvdA-Kamerlid Kathmann en de minister. Kathmann uitte haar zorgen over de ‘cyberweerbaarheidskloof’ die zij steeds meer ontwaart in de samenleving. Dat heeft zeker ook te maken met gedrag – ‘ook een heel groot probleem’ – maar vooral ook met geld, vindt zij: kapitaalkrachtige mensen, organisaties en bedrijven kunnen zich goede cybersecurity(maatregelen) veroorloven. ‘De duurste smartphones hebben vaak de beste beveiliging.’
Kathmann pleitte voor een lijst van open source-softwareapplicaties zodat mensen met ‘minder knaken’ aan de slag kunnen met hun cyberweerbaarheid. Volgens Van Weel, die toezegde te gaan kijken naar zo’n lijst, speelt geld niet zo’n grote rol, en is er volgens hem geen cyberkloof tussen arm en rijk. Op ferme toon: ‘Het is niet zo dat mensen geen cyberveiligheid kunnen betalen, het is meer dat mensen online domme dingen doen. Of ze nu geld hebben of niet. Dat laatste heeft er vaak weinig mee te maken.’ Kathmann, duidelijk wat geïrriteerd. ‘Het legt maar weer eens bloot dat er ook een kloof bestaat tussen dit kabinet en mensen met een kleine beurs.’
Lees ook:
