De herziening van de NIS-richtlijn moet ervoor zorgen dat de veiligheidsvereisten van netwerk- en informatiesystemen verder versterkt worden. De NIS-richtlijn, die in Nederland ook wel bekend staat als de NIB-richtlijn, had als doel om de betrouwbaarheid en veiligheid van netwerk- en informatiesystemen te verbeteren. De doorzettende innovatie van de cyberindustrie heeft er echter voor gezorgd dat de huidige NIS-richtlijn niet meer up-to-date is, aldus de Europese Commissie. Door toenemende cyberdreigingen en daarbij veranderde wijzen van cyberdreigingen die hun intrede hebben gedaan, dient de huidige NIS-richtlijn te worden herzien. Zo komen er strengere regels en toezicht voor cyberveiligheid. Er is bijvoorbeeld een meldingsplicht opgenomen in de herziene versie.
Met de invoering van de NIS2-richtlijn kunnen de regels voor de beveiliging van digitale diensten ook voor alle decentrale overheden gelden, wanneer de nationale autoriteit hier een beslissing over neemt. Daarnaast stelt de NIS2-richtlijn dat nationale autoriteiten de naleving van de regels uit NIS2 strenger moeten handhaven.
Decentrale relevantie
Het is momenteel nog niet helemaal helder wat de toepasselijkheid van de NIS2-richtlijn is voor Nederlandse decentrale overheden. Staatssecretaris Van Huffelen is van mening dat lokale medeoverheden onder de NIS2-richtlijn zullen vallen als belangrijke entiteiten. Dat houdt in dat decentrale overheden krachtens NIS2 ook aan de Europese verplichtingen op het gebied van cybersecurity moeten voldoen. Ze zullen maatregelen moeten nemen om hun ICT te beveiligen tegen incidenten, zoals het doen van een risicoanalyse, incidentafhandeling en gebruik maken van cryptografie en encryptie.
Omdat er nog veel onduidelijk is gaat de VNG in dialoog met het Ministerie van Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijksrelaties en andere ministeries, om zo overeenstemming te bereiken over de wetgeving.
Stand van zaken
In Nederland zal de Wet beveiliging netwerk- en informatiesystemen (Wbni) naar aanleiding van de NIS2-richtlijn moeten worden aangepast, onder meer om de verplichtingen voor overheden vorm te geven. Dit moet uiterlijk op 18 oktober 2024 gedaan zijn.
