Ongemak over vertraging NIS2

De implementatie van de Europese cybersecurityrichtlijn is een complex proces. De richtlijnen zullen gevolgen hebben voor duizenden organisaties, waaronder gemeenten en departementen, en hebben ook gevolgen voor samenwerkingsafspraken tussen verschillende instanties en het organiseren van toezicht. Volgens demissionair minister van Economische Zaken Micky Adriaansens zijn dit de voornaamste redenen waarom de implementatie veel tijd kost. Dat zei ze donderdag tijdens een overleg over online veiligheid in de vaste Kamercommissie Digitale Zaken.

Uitstel voorbereiding consultatie

Eerder werd bekend dat de Nederlandse implementatie van de Europese cybersecuritywetgeving NIS2 – of strikt genomen de voorbereiding voor de consultatie – is uitgesteld. De deadline van 17 oktober wordt in elk geval niet gehaald, liet demissioniair minister Dilan Yeşilgöz-Zegerius eind januari weten in een brief aan de Tweede Kamer. ‘Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht', aldus de bewindspersoon.

Kamerleden Jesse Six Dijkstra (NSC) en Hanneke van der Werf (D66) voelden de minister over het uitstel aan de tand. ‘Waarom lukt het in andere landen wel, als het dezelfde wetgeving is?' vroeg Six Dijkstra zich af. Het is een ingrijpend proces, herhaalde Adriaansens. ‘Andere landen werken met één regel. Wij spitsen het echt toe op sectoren. We willen dat al die organisaties de goede keuzes maken.’

‘Waarom lukt het in andere landen wel, als het dezelfde wetgeving is?

Jesse Six Dijkstra, Tweede Kamerlid NSC

Gebrekkige voorbereiding

Met name bij Van der Werf was ergernis te bespeuren over de in haar ogen gebrekkige voorbereiding. ‘We hebben hier jaren over onderhandeld. Dan hadden we toch ook wel kunnen bedenken dat we hier meer tijd en capaciteit voor nodig hebben. Ik begrijp dat gewoon niet. Was er scherper op geweest,’ wierp ze de minister voor de voeten. Haar kritiek was vooral ook gericht op het niet voldoende organiseren van toezicht. De NIS2-richtlijn schrijft namelijk voor dat een onafhankelijk toezichthouder bekijkt of de verplichtingen worden nageleefd. Adriaansens: ‘We moeten zorgen voor goede afstemming tussen de sectoren en de verschillende toezichthouders. Dat kost nu eenmaal tijd.’ 

Een goede afstemming tussen de sectoren en de verschillende toezichthouders kost nu eenmaal tijd.

Minister Micky Adriaansens, EZK

Forse eisen

Met de implementatie van NIS2 krijgt de overheid, waaronder ook gemeenten, te maken met forse eisen op het gebied van cyberveiligheid. Ook gemeenten zijn aangewezen als 'essentiële entiteit' en moeten voldoen aan strengere eisen op gebied van een zorgplicht, toezicht en een meldplicht om passende maatregelen te nemen op gebied van cybersecurity. De komst van de NIS2-richtlijn moet zorgen voor meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. Dat is geen overbodige luxe, nu de geopolitieke cyberdreiging onder druk van Rusland, China en Iran, het aantal datalekken en ransomware-aanvallen toenemen. Intussen nemen de kosten voor cybersecurity bij gemeenten zienderogen toe. De VNG nam vorige week nog een schot voor de boeg met een pleidooi voor een structurele financiering van 30 tot 50 miljoen euro.

Het duurt nog wel even voor het hele wetgevingsproces in gang wordt gezet. Na de consultatieronde moet de Raad van State er zich over buigen, waarna het NIS2-wetsvoorstel naar de Tweede en Eerste Kamer gaat.