Nederlandse overheid gaat deadline voor securitywet NIS2 niet halen

De voorbereiding voor de consultatie over de Nederlandse implementatie van deze Europese cybersecurityrichtlijn loopt uitstel op. Waardoor de deadline van 17 oktober níet wordt gehaald, laat demissionair minister Dilan Yeşilgöz-Zegerius weten in een brief aan de Tweede Kamer.

De overheid, waaronder ook gemeenten, krijgen met de inwerkingtreding van NIS2 te maken met flinke eisen op gebied van cybersecurity. Ook gemeenten zijn aangewezen als 'essentiële entiteit' en moeten voldoen aan strengere eisen op gebied van een zorgplicht, toezicht en een meldplicht om passende maatregelen te nemen op gebied van cybersecurity.

Meer tijd nodig

'Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht', schrijft de VVD-politica. 'De conceptwetsvoorstellen zullen naar verwachting voor de zomer van 2024 in consultatie worden gebracht. Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeer ik dat de implementatiedeadline van de Europese Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald', geeft Yeşilgöz-Zegerius toe. 

De consultatieronde is namelijk slechts één van de vereiste stappen in het hele proces om de wetgeving voor versterking van cybersecurity te realiseren. 'Na verwerking van de consultatiereacties zullen de wetsvoorstellen aan de Afdeling advisering van de Raad van State worden voorgelegd voor advies. Ik streef ernaar de wetsvoorstellen vervolgens in het najaar van dit jaar aan uw Kamer aan te bieden.'

'Niet zien als adempauze'

Bij IT-vakblad AG Connect reageren verschillende experts op het missen van de deadline. Security-expert Brenno de Winter benadrukt ook dat de inwerkingtreding echt niet opschuift. 'Het feit dat de implementatie er niet is, betekent niet dat de NIS2 niet ingaat en dat de verplichtingen voor organisaties er niet gaan zijn. Daar zijn ze ook op aanspreekbaar', waarschuwt hij. 'Het betekent natuurlijk wel dat het ingrijpen door een toezichthouder op zich laat wachten. Maar ik zou dit niet zien als een adempauze. De lat gaat flink omhoog. Dat verandert niet. Er gaat dus ook geen druk van de ketel', aldus de rapporteur bij de departementaal CISO van het ministerie van Volksgezondheid, Welzijn en Sport (VWS).

'Het zal voor overheden en bedrijven veel betekenen, variërend van het bekwamen van het bestuur tot het deugdelijk inrichten van de omgevingen. Zaken als Business Continuity Management, die werden afgedaan als niet voor de wereld, worden nu opeens verplicht. Kortom: er ligt een enorme druk waar veel organisaties niet omheen kunnen. Het duurt misschien een jaartje, maar dan gaan de bestuurders wel worden aangesproken.'

'Geen excuus'

Een aansporend geluid komt van Dave Maasland, CEO van securityleverancier ESET. Hij stelt dat uitstel van de consultatie geen grote belemmering is voor de markt om aan de slag te gaan. Ondanks dat er dus nog 'wat losse eindjes' zijn. 'Het basisprincipe blijft een risicogebaseerde aanpak zoals ook gedefinieerd in meerdere frameworks', die reeds bekend zijn. 'Kortom, dit zou de voorbereidingen van bedrijven niet in de weg moeten zitten naar mijn mening, er is geen excuus om niet aan de slag te gaan.' Een goede voorbereiding is immers het halve werk.

Maasland stipt nog wel aan dat het onderwerp van cybersecurity inmiddels een flinke, internationale urgentie heeft. Hij verwijst daarbij naar toenemende geopolitieke spanningen en het feit dat het World Economic Forum (WEF) cybercrime en cyberonveiligheid als grote problemen heeft geduid, voor Nederland en voor de wereld.