De overheid heeft de deadline voor de implementatie van de Europese NIS2-richtlijn niet gehaald. Daardoor hoeven bedrijven en organisaties die onder deze Europese cybersecurityrichtlijn vallen, voorlopig niet aan die nieuwe regelgeving te voldoen. Hoe heeft het zover kunnen komen en nog meer, wat betekent het overtreden van deze slotdatum voor het omzetten van de richtlijn naar Nederlandse wetgeving nog meer?
Dat de Network and Information Security Directive 2 (NIS2) en de bijbehorende CER (Critical Entities Resilience)-richtlijn op 17 oktober 2024 nog niet zouden zijn omgezet naar Nederlandse wetgeving werd in januari van dit jaar al gedeeld door Dilan Yeşilgöz, toenmalig minister van Justitie en Veiligheid. Opvolger Van Weel meldt in een Kamerbrief van 16 oktober dat de omzetting van deze richtlijnen in de Nederlandse Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten (Wwke) meer tijd vraagt dan verwacht.
De vertraging speelt ook in andere lidstaten. Volgens een overzicht van de Europese Unie hebben alleen België en Kroatië de deadline gehaald en NIS2 vertaald naar eigen wetgeving. Volgens Van Weel is het oponthoud in Nederland het gevolg van het ‘complexe traject dat nodig is om de richtlijnen in nationale wetgeving te verwerken’. Veel meer sectoren en organisaties moeten namelijk aan de nieuwe regels voldoen. Bij een eerdere internetconsultatie kwamen ongeveer 150 reacties binnen die volgens de minister ‘zorgvuldig worden meegenomen’ in de verdere uitwerking. Ook loopt de vertaling naar Nederlandse wetgeving vertraging op door ‘complexe processen rondom interdepartementale afstemming.’ Dat is jargon voor ministeries die bijvoorbeeld ruziën over wie verantwoordelijk is voor toezicht en de uitvoering van onderdelen van de wet. Van Weel verwacht nu dat de NIS2-richtlijn in het derde kwartaal van 2025 zal zijn omgezet in Nederlandse wetgeving.
Wat zijn de gevolgen voor bedrijven en organisaties?
Voor Nederlandse bedrijven en organisaties die onder de NIS2-richtlijn vallen, heeft de vertraging de volgende consequenties:
- Geen directe verplichtingen onder NIS2
Bedrijven die als essentiële of belangrijke entiteiten worden aangeduid, hebben vanaf 17 oktober 2024 nog geen verplichtingen onder de NIS2-richtlijn. Deze verplichtingen, zoals strikte beveiligingsmaatregelen, meldplichten bij incidenten en de verplichting om risicobeheer te implementeren, zullen van kracht worden zodra de Cyberbeveiligingswet in werking treedt.
- Voortzetting van bestaande wetgeving (Wbni)
Voor organisaties die vallen onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) blijft deze wet van kracht tot de nieuwe Cyberbeveiligingswet formeel is ingevoerd. Dit betekent dat de verplichtingen en het toezicht door de Nederlandse toezichthouders in deze overgangsperiode onveranderd blijven.
- Directe werking van bepaalde NIS2-bepalingen
Ondanks de vertraging hebben sommige onderdelen van de NIS2-richtlijn directe werking vanaf vandaag. Dit betekent dat organisaties die van rechtswege onder de richtlijn vallen, zoals domeinnaamregistratiediensten, recht hebben op bijstand bij een cyberincident van een computer security incident response team (csirt). Het Nationaal Cyber Security Centrum (NCSC) en gespecialiseerde teams zoals Z-Cert in de zorgsector zullen deze taken uitvoeren ook al is de wet nog niet formeel in werking getreden. De minister hoopt zo de weerbaarheid van die sectoren te verbeteren.
Wat gebeurt er in de overgangsperiode?
Hoewel de nieuwe wetgeving nog niet van kracht is, neemt de overheid stappen om organisaties zo goed mogelijk voor te bereiden.
- Csirt-taken blijven operationeel
De Csirt, zoals het NCSC en Z-Cert, blijven tijdens de overgangsperiode operationeel. Dit waarborgt de continuïteit van hun dienstverlening en biedt bedrijven ondersteuning bij cybersecurity-incidenten.
- Vrijwillige registratie bij het NCSC
Organisaties die als essentiële of belangrijke entiteit onder de NIS2-richtlijn vallen, kunnen zich vanaf vandaag vrijwillig registreren bij het NCSC. Deze registratie is pas verplicht na de inwerkingtreding van de Cyberbeveiligingswet, maar biedt al wel de mogelijkheid om cyberincidenten te melden en toegang te krijgen tot relevante ondersteuning.
Naast de NIS2-richtlijn is ook de CER-richtlijn nog niet volledig geïmplementeerd. Deze richtlijn, die zich richt op het verhogen van de weerbaarheid van kritieke infrastructuren, wordt vertaald in de Wwke. In de periode tussen 17 oktober 2024 en de inwerkingtreding van deze wet, zijn er voor bedrijven nog geen verplichtingen. De overheid moet echter wel voldoen aan enkele deadlines, zoals het opstellen van een nationale strategie en het uitvoeren van risicobeoordelingen
Voorbereiden
Het niet halen van de NIS2-deadline brengt een vertraging mee in de naleving van Europese cybersecurityregels. Voor Nederlandse bedrijven betekent dit dat zij voorlopig geen nieuwe verplichtingen hebben. Wel kunnen zij vrijwillig stappen ondernemen, zoals registratie bij het NCSC. De continuïteit van csirt-ondersteuning en de voortzetting van de Wbni bieden enige zekerheid, maar volledige naleving zal pas vanaf het derde kwartaal van 2025 vereist zijn, wanneer de Cyberbeveiligingswet naar verwachting in werking treedt. Ondertussen blijft het voor bedrijven van belang om zich voor te bereiden op de aankomende verplichtingen, stelt de minister.
Aan de slag met NIS2
NIS2-startpunt geeft informatie, handvatten en maatregelen die organisaties kunnen nemen ter voorbereiding op de aankomende wetgeving. Daar is ook te vinden welke criteria bepalen of een organisatie of sector onder de NIS2-richtlijn valt.
In een online-masterclass over NIS2 van Cloudflare in samenwerking met Computable leggen experts uit hoe organisaties aan die richtlijn voldoen. De tip: wacht niet af, maar ga aan de slag.
