NLdigital vreest lappendeken aan cyberbeveiligingseisen in Nederlandse implementatie NIS2 

NLdigital heeft haar consultatiereactie ingediend op het conceptbesluit en ministeriële regeling voor de implementatie van NIS2 in Nederland. Wij vrezen inconsistente eisen die leiden tot hogere kosten en complexiteit zonder cybersecuritywinst. Daarom pleit NLdigital voor duidelijke uitgangspunten die door ieder ministerie gelijkwaardig uitgewerkt worden. 

De Nederlandse implementatie van de Europese NIS2-richtlijn dreigt te resulteren in een versnipperd landschap van verschillende cyberbeveiligingseisen, afhankelijk van de sector waarin een bedrijf opereert. NLdigital, de branchevereniging van de digitale sector in Nederland, heeft gereageerd op de internetconsultatie voor verdere uitwerking van de NIS2 in Nederland: het Cyberbeveiligingsbesluit (Cbb) en bijbehorende ministeriële regeling. 

Versnippering van cyberbeveiligingseisen 

Een centraal probleem dat NLdigital signaleert is dat de verplichtingen voor bedrijven in digitale sectoren rechtstreeks voortvloeien uit de Europese Uitvoeringsverordening (EU) 2024/2690, terwijl de verplichtingen voor andere sectoren worden uitgewerkt in nationale ministeriële regelingen die per verantwoordelijk ministerie kunnen verschillen. Dit leidt tot een situatie waarin dezelfde beveiligingsmaatregelen in verschillende sectoren anders geformuleerd en dus ook geïnterpreteerd kunnen worden. 

“Deze verschillende bronnen van regelgeving kunnen tot inconsistente implementatie-eisen leiden, wat bijzonder problematisch is voor IT-leveranciers die diensten leveren aan meerdere sectoren,” aldus NLdigital. “Zonder harmonisatie moeten onze leden per sector verschillende technische oplossingen implementeren voor dezelfde functionaliteiten zoals logging of back-ups. Dit verhoogt de kosten aanzienlijk, vergroot de technische complexiteit en verhindert schaalvoordelen.” 

Zes concrete aandachtspunten 

In de consultatiereactie stelt NLdigital zes concrete aandachtspunten aan de orde: 

  1. Harmonisatie van technische eisen: NLdigital pleit voor maximale afstemming tussen de eisen in ministeriële regelingen en de Europese Uitvoeringsverordening. 
  1. Geen Nederlandse kop op trainingseisen voor bestuurders: De eis dat bestuurderstrainingen door onafhankelijke externe trainers moeten worden gegeven, gaat verder dan NIS2 voorschrijft en is contraproductief voor digitale bedrijven waar vaak al expertise aanwezig is. 
  1. Werkbare meldplichten in ICT-ketens: Bij grootschalige incidenten kunnen parallelle meldplichten voor IT-leveranciers en hun klanten leiden tot capaciteitsproblemen die het oplossen van incidenten belemmeren. 
  1. Ruimte voor gestandaardiseerde dienstverlening: De huidige formulering is onduidelijk of deze individuele afspraken tussen leveranciers en afnemers vereist maakt, dat zou niet passen bij schaalbare diensten zoals cloud- en SaaS-oplossingen. 
  1. Duidelijkheid voor complexe bedrijfsconstructies: Er komen al meerdere vragen op over de wijze waarop zij zich moeten registreren, er is aandacht vereist om deze verplichting in goede banen te leiden. 
  1. Proportionele bewaartermijnen voor persoonsgegevens: De maximale bewaartermijn van 120 maanden voor toezichtdoeleinden is extreem lang en niet afdoende doelgebonden. 

Roep om praktische implementatie 

NLdigital benadrukt dat effectieve beveiliging niet alleen een kwestie is van documentatie en contractuele afspraken, maar vooral van operationele uitvoering en continue aandacht. De branchevereniging vraagt dat de regelgeving en het toezicht voldoende ruimte bieden aan organisaties om zelf invulling te geven aan deze operationele aspecten, passend bij hun bedrijfsmodel en risicoprofiel. 

De consultatiereactie bevat voor elk aandachtspunt concrete aanbevelingen om tot een meer werkbare en proportionele implementatie van NIS2 te komen voor de digitale sector in Nederland. 


Deel via:

Jelmer Schreuder

Public policy manager
Neem contact op met
Jelmer Schreuder

Het laatste nieuws

‘Digitale infrastructuur is de ruggengraat van onze samenleving’

Hoe bouwen we aan een toekomstbestendige digitale samenleving, waarin veiligheid, innovatie en samenwerking centraal staan? Paul Naastepad, CEO van Eurofiber...
Cybersecurity

Tweede Kamer bezoekt Eurofiber: focus op digitale infrastructuur

Op 21 maart jl. brachten Tweede Kamerleden op uitnodiging van NLdigital een werkbezoek aan Eurofiber, een aanbieder van digitale infrastructuur,...
Cybersecurity

Nederland digitaal (on)afhankelijk: een realistische kijk op digitale soevereiniteit 

De lang verwachte evaluatie van de Autoriteit Persoonsgegevens (AP) bevestigt veel van de zorgen die onze leden hebben geuit. De AP heeft in haar reactie toezeggingen gedaan die kansen bieden voor een meer constructieve en daarmee effectieve uitwerking.
Cybersecurity

Evaluatie Autoriteit Persoonsgegevens bevestigt zorgen IT-sector – NLdigital positief over verbeterplan

De lang verwachte evaluatie van de Autoriteit Persoonsgegevens (AP) bevestigt veel van de zorgen die onze leden hebben geuit. De AP heeft in haar reactie toezeggingen gedaan die kansen bieden voor een meer constructieve en daarmee effectieve uitwerking.
Cybersecurity

AFAS Software over het lidmaatschap bij NLdigital

“Samen kom je verder: NLdigital is een waardevolle partner voor ICT-bedrijven”  Als toonaangevend softwarebedrijf is AFAS Software al jaren lid...
Cybersecurity