NLdigital vreest lappendeken aan cyberbeveiligingseisen in Nederlandse implementatie NIS2
NLdigital heeft haar consultatiereactie ingediend op het conceptbesluit en ministeriële regeling voor de implementatie van NIS2 in Nederland. Wij vrezen inconsistente eisen die leiden tot hogere kosten en complexiteit zonder cybersecuritywinst. Daarom pleit NLdigital voor duidelijke uitgangspunten die door ieder ministerie gelijkwaardig uitgewerkt worden.
De Nederlandse implementatie van de Europese NIS2-richtlijn dreigt te resulteren in een versnipperd landschap van verschillende cyberbeveiligingseisen, afhankelijk van de sector waarin een bedrijf opereert. NLdigital, de branchevereniging van de digitale sector in Nederland, heeft gereageerd op de internetconsultatie voor verdere uitwerking van de NIS2 in Nederland: het Cyberbeveiligingsbesluit (Cbb) en bijbehorende ministeriële regeling.
Versnippering van cyberbeveiligingseisen
Een centraal probleem dat NLdigital signaleert is dat de verplichtingen voor bedrijven in digitale sectoren rechtstreeks voortvloeien uit de Europese Uitvoeringsverordening (EU) 2024/2690, terwijl de verplichtingen voor andere sectoren worden uitgewerkt in nationale ministeriële regelingen die per verantwoordelijk ministerie kunnen verschillen. Dit leidt tot een situatie waarin dezelfde beveiligingsmaatregelen in verschillende sectoren anders geformuleerd en dus ook geïnterpreteerd kunnen worden.
“Deze verschillende bronnen van regelgeving kunnen tot inconsistente implementatie-eisen leiden, wat bijzonder problematisch is voor IT-leveranciers die diensten leveren aan meerdere sectoren,” aldus NLdigital. “Zonder harmonisatie moeten onze leden per sector verschillende technische oplossingen implementeren voor dezelfde functionaliteiten zoals logging of back-ups. Dit verhoogt de kosten aanzienlijk, vergroot de technische complexiteit en verhindert schaalvoordelen.”
Zes concrete aandachtspunten
In de consultatiereactie stelt NLdigital zes concrete aandachtspunten aan de orde:
- Harmonisatie van technische eisen: NLdigital pleit voor maximale afstemming tussen de eisen in ministeriële regelingen en de Europese Uitvoeringsverordening.
- Geen Nederlandse kop op trainingseisen voor bestuurders: De eis dat bestuurderstrainingen door onafhankelijke externe trainers moeten worden gegeven, gaat verder dan NIS2 voorschrijft en is contraproductief voor digitale bedrijven waar vaak al expertise aanwezig is.
- Werkbare meldplichten in ICT-ketens: Bij grootschalige incidenten kunnen parallelle meldplichten voor IT-leveranciers en hun klanten leiden tot capaciteitsproblemen die het oplossen van incidenten belemmeren.
- Ruimte voor gestandaardiseerde dienstverlening: De huidige formulering is onduidelijk of deze individuele afspraken tussen leveranciers en afnemers vereist maakt, dat zou niet passen bij schaalbare diensten zoals cloud- en SaaS-oplossingen.
- Duidelijkheid voor complexe bedrijfsconstructies: Er komen al meerdere vragen op over de wijze waarop zij zich moeten registreren, er is aandacht vereist om deze verplichting in goede banen te leiden.
- Proportionele bewaartermijnen voor persoonsgegevens: De maximale bewaartermijn van 120 maanden voor toezichtdoeleinden is extreem lang en niet afdoende doelgebonden.
Roep om praktische implementatie
NLdigital benadrukt dat effectieve beveiliging niet alleen een kwestie is van documentatie en contractuele afspraken, maar vooral van operationele uitvoering en continue aandacht. De branchevereniging vraagt dat de regelgeving en het toezicht voldoende ruimte bieden aan organisaties om zelf invulling te geven aan deze operationele aspecten, passend bij hun bedrijfsmodel en risicoprofiel.
De consultatiereactie bevat voor elk aandachtspunt concrete aanbevelingen om tot een meer werkbare en proportionele implementatie van NIS2 te komen voor de digitale sector in Nederland.
Het laatste nieuws
‘Digitale infrastructuur is de ruggengraat van onze samenleving’
Tweede Kamer bezoekt Eurofiber: focus op digitale infrastructuur
Nederland digitaal (on)afhankelijk: een realistische kijk op digitale soevereiniteit
Evaluatie Autoriteit Persoonsgegevens bevestigt zorgen IT-sector – NLdigital positief over verbeterplan
