Op 31 januari, heeft demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius de Tweede Kamer laten weten dat het Nederland niet gaat lukken om de Europese NIS2-richtlijn en de CER-richtlijn voor de deadline van 17 oktober 2024 te implementeren.
Demissionair minister Yeşilgöz noemt de complexiteit, omvangrijkheid en maatschappelijke impact van deze wetgeving als reden voor de vertraging. De minister legt uit hoe secuur de betrokken departementen met de NIS2 en de CER aan de slag zijn gegaan en dat blijven doen.
Om de implementatie op een verantwoorde wijze verder door te voeren en alle correcte stappen van het wetgevingsproces te doorlopen heeft het ministerie meer tijd nodig.
NIS2
De NIS2-richtlijn vervangt de NIS-richtlijn. De nieuwe wetgeving versterkt onder andere de veiligheidsvereisten van netwerk- en informatiesystemen. Hierdoor wordt de cyberveiligheid van de gehele Europese Unie verbeterd.
Dit doet de Richtlijn ook door het toepassingsgebied van de wet te vergroten ten opzichte van de eerdere richtlijn. Zo gelden de strengste eisen uit deze wet voor elf ‘zeer kritieke sectoren’, waaronder centrale en regionale overheden. Hierdoor vallen ook decentrale overheden onder de NIS2.
CER
De CER-richtlijn, oftewel de Richtlijn betreffende de weerbaarheid van kritieke entiteiten, is bedoeld om zogenaamde ‘kritieke entiteiten’ te beschermen tegen incidenten en verstoringen. Een kritieke entiteit is een leverancier van een dienst uit een essentiële sector, zoals spoorwegondernemingen uit de vervoersector of zorgaanbieders uit de gezondheidssector. In tegenstelling tot de NIS2, vallen decentrale overheden bij de CER niet onder de sector overheid.
In plaats daarvan, zijn decentrale overheden betrokken bij enkele andere essentiële sectoren. Zo zijn gemeenten onder andere verantwoordelijk voor rioolbeheer wat onder de sector voor afvalwater valt bij de CER. Daarnaast kunnen ook alle decentrale overheden op verschillende manieren een rol spelen in de digitale infrastructuur sector.
Om hun rol in deze sectoren op een veilige manier voort te zetten, zullen decentrale overheden aan de CER moeten voldoen.
Organisaties hoeven niet stil te zitten
Minister Yeşilgöz benadrukt dat bedrijven en organisaties niet moeten afwachten totdat de nieuwe wet- en regelgeving volledig op papier staat. Zij moedigt organisaties aan om nu al in actie te komen. Organisaties kunnen bijvoorbeeld kijken naar de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni), wat de implementatie van de NIS-richtlijn is. Door de verplichtingen uit deze na te komen, worden al grote stappen in de juiste richting gezet.
Verder bevatten de NIS2 en de CER ook concrete maatregelen, zoals het laten uitvoeren van risicoanalyses op de organisatie en het verhogen van veiligheidsrisico’s bij werknemers. Ook dit kunnen organisatie nu al doorvoeren.
Bron
- Kamerbrief over stand van zaken implementatie NIS2- en CER-richtlijnen.
- NIS2-richtlijn, EURLEX.
- CER-richtlijn, EURLEX.
Meer Informatie
- Voor een overzicht van de relevante Europese wet- en regelgeving rondom digitalisering, kunt kijken op onze Tijdlijn Digitalisering.
- Mocht u meer willen weten dat over cyberveiligheid, dan kunt u kijken bij dit thema op ons overzicht van netwerk en platforms over digitalisering.
