Implementatie NIS2-richtlijn uitgesteld: dit betekent het voor jou
Eind januari maakte de minister van Justitie en Veiligheid bekend dat de Nederlandse uitwerking van de Europese NIS2-richtlijn vertraging heeft opgelopen. De implementatie had op 17 oktober klaar moeten zijn, maar dat wordt niet gehaald. Die beslissing brengt vragen met zich mee. Want hoelang gaat de vertraging duren? Wat betekent dat voor jouw organisatie? Wanneer gaan de zorgplicht en meldplicht in? En wanneer start het toezicht? Onze public policy manager Jelmer Schreuder vertelt je hoe het zit.
NIS2-richtlijn
De EU heeft een nieuwe versie van de Netwerk en Informatie Beveiliging Richtlijn aangenomen: beter bekend als de NIS2. Deze Europese richtlijn wordt 17 oktober van kracht, maar moet daarvoor in nationale wetgeving worden uitgewerkt. De Nederlandse overheid gaat de implementatie van de richtlijn in de Nederlandse wetgeving op deze datum echter niet redden. Het omzetten van de richtlijn in nationale wetgeving vraagt meer tijd dan ze dachten.
Deze vertraging komt niet als een verrassing. Streefdatum na streefdatum verliep zonder conceptwet. Voor velen was het wel duidelijk dat het inmiddels onmogelijk was om het volledige wetgevingstraject voor de implementatiedeadline te doorlopen. In dat opzicht is het een opluchting dat de minister dit nu ook erkent. Op dit punt kunnen we het gesprek starten over de gevolgen van de vertraging.
Wil je op de hoogte blijven van de laatste informatie? Houd dan ons kennisbankartikel in de gaten: De NIS2 komt eraan: wat betekent dit voor jouw bedrijf?
Hoelang gaat de vertraging duren?
We vallen maar meteen met de deur in huis: dat kunnen we niet met zekerheid zeggen. De minister sprak het streven uit om de wet dit najaar aan het parlement aan te bieden. Hiervoor moeten echter nog enkele grote stappen gezet worden. Zo moet er een publieke consultatie van de conceptwet en advies van de Raad van State komen. Deze reacties moeten verwerkt worden en het resultaat moet vervolgens aan de Tweede en Eerste Kamer voorgelegd worden.
[UPDATE 13 juni]
De overheid heeft inmiddels aangegeven uit te gaan van zomer 2025 als moment waarop de Nederlandse wet in werking treedt. Lees hier meer over het inmiddels gepubliceerde concept.
Wat betekent het voor jouw organisatie?
Opvallend genoeg doet de minister geen uitspraken over de praktische gevolgen van de vertraging, maar we kunnen er wel een inschatting van maken. In de praktijk betekent het dat organisaties die nu nog niet onder de NIS1 en WBNI vallen, ook nog niet onder toezicht komen te staan tot de Nederlandse wet is ingevoerd. Organisaties die al wel onder de NIS1 vallen kunnen mogelijk al wel aan nieuwe standaarden van de NIS2 gehouden worden, indien anders dan het huidige regime van NIS1 en AMvBs.
Ook onduidelijk is wat dit gaat betekenen voor de rol van de CSIRTs (het NCSC voor de digitale sector). Kan je na 17 oktober het NCSC bij grote incidenten om hulp vragen als je nog niet formeel tot hun werkgebied behoort? Hier is nog geen formeel antwoord op, maar onze verwachting is dat het NCSC of het DTC deze taken al wel op zullen pakken. Hetzelfde verwachten we van de meldplicht. De overheid moet om te beginnen natuurlijk bekend maken hoe en waar deze meldingen gedaan moeten worden. Wij adviseren je erop voor te bereiden om hier vanaf 17 oktober gebruik van te maken.
Ons advies? Ga ondanks deze vertraging zo snel mogelijk aan de slag met wat we al wel weten. Naast de genoemde meldplicht betreft dit met name de bepalingen uit artikel 21 lid 2 van de NIS2, waarin de maatregelen voor het beheer van cyberbeveiligingsrisico’s zijn opgenomen. Maak een analyse. Waar sta je? Welke risico’s zijn er? En wat kun je daaraan doen? Als je dat doet hebben toezichthouders waarschijnlijk veel meer begrip wanneer je nog niet aan elk detail voldoet. Heb je totaal geen inspanningen gedaan op dit vlak? Dan komen zelfs de heftige bepalingen zoals een beroepsverbod voor je bestuurders in beeld. Laat dit uitstel dus niet tot afstel leiden!
Heb je vragen? Neem dan contact op met Jelmer Schreuder.