Europarlementariër Bart Groothuis vindt het onbegrijpelijk dat de Haagse ministeries nog niet klaar zijn met het omzetten van de herziene EU-beveiligingsrichtlijn (NIS2) in nationale wetgeving. ‘De urgentie hiervan wordt in Nederland onvoldoende onderkend,’ waarschuwt hij in een vraaggesprek met Computable naar aanleiding van zijn kandidatuur voor de komende Europese verkiezingen.
Tot zijn verontwaardiging heeft juist de Nederlandse regering gemeend de uitvoering van deze EU-wetgeving te moeten uitstellen. Er moet namelijk nog worden gepolderd. De Haagse ambtenaren vinden de wetgeving ingewikkeld. Het omzetten in nationale wetgeving valt hen zwaar. Bovendien is nog niet duidelijk wie welke rol bij de handhaving gaat spelen.
Groothuis heeft als hoofdonderhandelaar van het Europees Parlement op deze wetgeving voor cyberveiligheid zijn stempel gedrukt. De eind 2022 aangenomen nieuwe Europese wetgeving gaat officieel in per 17 oktober aanstaande, maar is in Nederland vertraagd tot begin 2025. Pas afgelopen dinsdag is de consultatie van het wetsvoorstel begonnen, terwijl dit al vorig jaar zomer had moeten gebeuren. Bovendien is een aantal zaken nog niet duidelijk, wat naast bedrijven ook gemeenten frustreert.
Volgens Groothuis gaat van het uitstel ook het verkeerde signaal uit naar bedrijven en instellingen die straks onder NIS2 gaan vallen. ‘Want die kunnen dan gaan denken dat die wetgeving toch niet zo belangrijk is.’
Klantverlies
De werkgeversorganisaties VNO-NCW en MKB Nederland hebben al gewaarschuwd dat exportbedrijven belangrijke klanten en omzet dreigen te verliezen als ze straks te laat zijn met de implementatie. In Duitsland, waar ondernemers al wel volop op de invoering anticiperen, treedt NIS2 al in oktober in werking. Omdat onze oosterburen streng zijn op het naleven van deze wetgeving dreigt daar een reëel risico op klantverlies. Ook andere landen beseffen beter hoe belangrijk NIS2 is voor het waarborgen van de digitale veiligheid en de verkleining van de impact van cyberdreigingen.
Volgens Groothuis doen we in Nederland nog steeds alsof overal in Europa vrede heerst. Hij herinnert zich nog hoe Oekraïne een jaar na de Russische inval besloot deze EU-wetgeving als het ware te kopiëren. ‘Want volgens Oekraïense politici kan juist in oorlogstijd NIS2 bijdragen tot een betere bescherming.’ Doel van NIS2 is immers de digitale weerbaarheid van bedrijven en instellingen te verbeteren.
Meer acties nodig
NIS2 kan er ook voor zorgen dat andere bedrijven minder snel slachtoffer worden van cybercriminaliteit. De meldplicht schrijft voor dat organisaties beveiligingsincidenten binnen 24 uur moeten melden bij hun toezichthouder én sectorale Csirt (Computer Security Incident Response Team) als deze incidenten de dienstverlening aanzienlijk (kunnen) verstoren.
Groothuis zou graag zien dat in het verlengde van deze verplichte meldingen meer operationele acties worden ondernomen. De overheid kan bijvoorbeeld stimuleren dat zodra blijkt dat het klikken op bepaalde domeinnamen tot phishing leidt, internetserviceproviders (isp’s) hiervoor waarschuwen. Om de verdere verspreiding van malware tegen te gaan zouden deze isp’s zoals in België een rood scherm kunnen tonen wanneer een domein is gehackt. De overheid kan in samenwerking met de isp’s een veel betere bescherming bieden.
Een ander idee is om mensen, die een nieuw bedrijf aanmelden bij de Kamer van Koophandel, een cybersecurity-welkomstpakket mee te geven. Daarin kan software zitten die nieuwe domeinnamen en de email-instellingen controleert, met een uitleg hoe je zwakke punten verhelpt.
Interview
Groothuis wil zich als Europarlementariër blijven richten op complexe thema’s als cybersecurity, digitale transformatie, defensie, geopolitiek en technologie binnen de EU.
Lees meer hierover in het vraaggesprek met hem: ‘Dringend minder wetgeving nodig in digitale EU’.