De eerste reacties op het wetsvoorstel voor de Nederlandse implementatie van de Europese NIS2-richtlijn ter versterking van de digitale weerbaarheid zijn kritisch. ‘Op belangrijke punten vaag en weinig concreet,’ zo laten de commentaren op de internetconsultatie van de Cyberbeveiligingswet zich samenvatten. Belanghebbenden kunnen nog vijf weken op het wetsontwerp schieten.
De omzetting van NIS2 naar nationale wetgeving duurt in Nederland langer dan in bijvoorbeeld Duitsland en België. Europarlementariër Bart Groothuis, die als hoofdonderhandelaar van het Europees Parlement zijn stempel op deze wetgeving voor cyberveiligheid drukte, sprak hier in een vraaggesprek met Computable zijn onbegrip over uit.
Uit de reacties van belanghebbenden op het wetsvoorstel blijkt dat de extra tijd die het ministerie van Justitie en Veiligheid nodig meent te hebben, allerminst tot een duidelijk wetsontwerp heeft geleid. In de eerste week van de consultatie zijn al tal van suggesties gedaan voor verbetering. Ook verdienen de vele inconsistenties in de voorgestelde regelgeving een herziening. Vraagtekens worden gezet achter de scope van de Cyberbeveiligingswet.
Volgens Michiel Benda, eigenaar van Omni-U, wordt het toepassingsgebied van de nationale wetgeving anders dan de intentie van NIS2. Sommige organisaties worden in de Nederlandse versie potentieel uitgesloten die wel in de scope hadden moeten staan en andersom. Voor wat betreft de aanbieders van internetknooppunten is de Haagse implementatie niet in lijn met NIS2, stelt Benda. Onder de wet vallen straks ook vele duizenden (heel) kleine organisaties die niet in de EU zijn gevestigd, maar wel in Nederland diensten aanbieden. Volgens Benda kan de focus beter op de grote ondernemingen liggen.
Minder concreet
Kritisch over de langverwachte Nederlandse uitwerking van NIS2 is ook Dennis de Hoog, ceo van Computest. Op een belangrijke punten is Nederland minder concreet dan wat er vanuit Europa is neergelegd. In de EU-richtlijn staan tien categorieën van maatregelen die bedrijven moeten nemen om hun netwerk- en informatiesystemen te beveiligen. Zo schrijft de EU voor dat regelmatig beveiligingsaudits en -testen moeten plaatsvinden. Maar De Hoog mist in de Nederlandse versie belangrijke maatregelen zoals securitymonitoring. Ook over het beheren van risico’s in de toeleveringsketen, inclusief derde partijen en dienstverleners, vindt hij niets in de concept-wettekst terug. ‘De overheid mist hier de kans om organisaties de weg te wijzen.’ Juist bij dit soort wetgeving moet duidelijk zijn wat er van bedrijven wordt verwacht. Want bedrijven die hier niet aan voldoen, lopen kans op forse boetes.
De security-expert van Computest vindt het terecht dat in de Nederlandse uitwerking vrij veel aandacht wordt besteed aan techbedrijven zoals aanbieders van beheerde diensten en internetproviders. Maar hij zou ook meer focus willen zien op bepaalde subsectoren die hun security minder goed op orde hebben. Voor kleinere bedrijven in bijvoorbeeld de zorg of logistieke dienstverlening is dit bepaald geen overbodige luxe. Zij kunnen baat hebben bij heldere actiepunten. ‘Dan kunnen ze beter inschatten of aan de wet wordt voldaan.’
Reikwijdte
Uit andere reacties blijkt dat er veel onduidelijkheid heerst over de positie van de Veiligheidsregio’s. Evenmin is helder of zelfstandige bestuursorganen onder de reikwijdte van de wet vallen. De EU-richtlijn bevat ook richtlijnen voor een minimum set aan maatregelen waaraan organisaties moeten voldoen. Het Nederlandse wetsvoorstel laat hier veel onduidelijkheid over bestaan, wat ertoe kan leiden dat Nederlandse bedrijven de ‘kantjes’ er vanaf gaan lopen.
De Amsterdamse cyberexpert Dennis Terlouw vreest dat de huidige formulering van de meldplicht van ict-incidenten kleinere bedrijven te veel gaat belasten gezien de korte tijdframes en de brede definities van incidenten. Hij stelt een meer gedifferentieerde aanpak voor, gebaseerd op de ernst van het incident en de omvang van de entiteit. Daarnaast raadt hij duidelijkere richtlijnen aan voor de vereiste technische en organisatorische beveiligingsmaatregelen. Dit kan leiden tot een uniforme interpretatie en implementatie van de wet over verschillende sectoren en bedrijfsgroottes.
De nieuwe EU-wetgeving treedt per 17 oktober in werking. Maar de Nederlandse NIS2-wet treedt naar verwachting pas in het tweede of derde kwartaal 2025 in werking. Zo blijkt uit het antwoord van minister Rob Jetten (Milieu en Energie) en Dilan Yeşilgöz (Justitie en Veiligheid) op vragen van het JA21-kamerlid Joost Eerdmans.
een nieuw Europees concept, europese versus nationale wetgeving :
“De nieuwe EU-wetgeving treedt per 17 oktober in werking, maar de Nederlandse uitwerking is vertraagd tot begin 2025.”
Zou Wilders dat bedoeld hebben “Europa van binnenuit uithollen” ipv Nexit ?
Zelensky denkt er vast het zijne van. Europa, daar win je de oorlog niet mee..
Met VOC mentaliteit wel, maar dat mag niet meer.
In het artikel lees ik vooral over helder, duidelijk, vaag, focus, groot, klein, uniform en gedifferentieerd.
Maar ik ben een beetje kwijt of dat die extra meningen zijn of waarover die meningen gaan.
Hoe dan ook, we leven in spannende tijden.