Pas aankomend najaar raadpleegt de overheid belanghebbenden voor de nieuwe Nederlandse wetgeving over netwerk- en informatiebeveiliging (NIS2). De internetconsultatie zou oorspronkelijk deze zomer plaatsvinden, maar het traject is dermate omvangrijk, complex en impactvol, dat uitstel nodig is. De geplande datum voor inwerkingtreding van de wet zou niet in gevaar komen.
NIS2 richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Het is een EU-richtlijn die meer Europese harmonisatie en betere it-beveiliging moet opleveren. Eind vorig jaar stelde de Europese Raad de richtlijn vast, waarna deze binnen 22 maanden in nationale wetgeving moet worden verwerkt.
De nationale implementatie van de nieuwe richtlijn is een omvangrijk en complex traject, schrijft het Nationaal Cyber Security Centrum (NCSC). Ook is de impact groter dan bij de oorspronkelijke NIS-regels. Meer sectoren en meer organisaties krijgen met de wet te maken en er wordt meer van hen gevraagd. Zo krijgen ze een zorgplicht en een meldplicht bij incidenten. De overheid krijgt er bovendien toezichttaken bij.
Verwerken in wetsvoorstel
De internetconsultatie staat nu gepland voor dit najaar; er is nog geen exacte datum geprikt. Het is een periode van zes weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten van de consultatie worden vervolgens gepubliceerd en waar mogelijk verwerkt in het wetsvoorstel.
Het uitstel van de internetconsultatie betekent volgens de overheid niet dat de uiteindelijke planning in gevaar komt. Nog steeds is de verwachting dat de wet eind 2024 in werking treedt, nadat deze door het parlement is behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.
