Minister hoopt gevolgen gemiste NIS2-deadline te beperken

Nederland heeft de deadlines voor NIS2 en CER niet gehaald. De Europese regelgeving die cybersecurity en digitale weerbaarheid van onder meer essentiële diensten verbeteren had per 17 oktober 2024 in werking moeten treden, maar de regelgeving is niet op tijd omgezet naar Nederlandse wetten.

Het streven van de overheid blijft om de Nederlandse implementatie van NIS2 in het derde kwartaal van 2025 rond te hebben. Hetzelfde geldt voor de CER-richtlijn. Daarmee is een bereik van juli tot september in zicht, voor de twee Europese reguleringen die per 17 oktober 2024 in nationale wetgeving vertaald moeten zijn. De gevolgen van deze deadlineschending door Nederland worden nu in een Kamerbrief uiteengezet. Verplichtingen gelden niet, rechten wel.

'Zoals eerder gecommuniceerd, komt de vertraging doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is', schrijft minister David van Weel, van Justitie en Veiligheid. 'De impact voor Nederlandse organisaties is aanzienlijk en er zijn ten opzichte van bestaande wetgeving meer sectoren en meer organisaties die moeten voldoen aan de nieuwe wetgeving. Daarnaast hecht ik grote waarde aan het zorgvuldig verwerken van de circa 150 reacties die zijn binnengekomen tijdens de internetconsultatie en de interdepartementale afstemming hierover.'

'Van grote waarde voor weerbaarheid'

NIS2 en CER worden momenteel nog omgezet in Nederlandse wetten, respectievelijk de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Van Weel stelt in zijn Kamerbrief dat beide wetten een belangrijke basis zullen vormen voor het cybersecuritystelsel en de weerbaarheid van de vitale infrastructuur. Daarom zijn ze "van grote waarde voor het verhogen van de weerbaarheid van ons land".

Het niet halen van de implementatiedeadline betekent niet dat er nu niets aan de orde is. 'Ondanks de vertraging in de omzetting van de richtlijnen worden organisaties, die onder de wetten komen te vallen, daarom door betrokken ministeries al benaderd en gewezen op de maatregelen die ze nu al kunnen treffen.' Dat betreft dan echter wel vrijwillige acties, ter bevordering van de cyberbeveiliging, want verplichtingen vanuit NIS2 (en ook CER) zijn niet van toepassing, tót de inwerkingtreding van de aankomende nieuwe wetten.

Recht op hulp bij hacks

Naast verplichtingen spelen er ook rechten en díe zijn nu al wel aan de orde. 'Daarnaast zullen verschillende organisaties, in verband met de hieronder toegelichte rechtstreekse werking van enkele bepalingen uit de NIS2-richtlijn, al per 17 oktober 2024 bepaalde rechten hebben, zoals het recht op bijstand van een Computer Incident Response Team (CSIRT) bij cyberincidenten.' Justitie-minister Van Weel stelt dat hij zo probeert de gevolgen van de vertraging te beperken voor de weerbaarheid van Nederland.