Naleving van cybersecuritywet NIS2 voorlopig niet afdwingbaar, erkent ministerie van Justitie en Veiligheid

Op de valreep van januari is officieel naar buiten gekomen dat de Nederlandse overheid er niet in gaat slagen om de EU-richtlijn voor betere cybersecurity te implementeren in wetgeving voor ons land. De voorbereidende stappem voor de consultatie over deze Nederlandse implementatie loopt uitstel op. Daardoor wordt de deadline van 17 oktober níet gehaald, heeft demissionair minister Dilan Yeşilgöz-Zegerius laten weten.

Maar maakt wel uit

Ondertussen wordt al wel duidelijk dat het uitstel voor NIS2 in de praktijk wel iets kan uitmaken. Dit ondanks de voor CISO's logische beveiligingsmaatregelen die daarin verplicht worden gesteld. Het ministerie van Justitie en Veiligheid geeft zelf aan dat de verlate implementatie als gevolg heeftdat de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar zal zijn.

"Het wetsvoorstel regelt nieuwe beveiligingseisen en toezicht voor organisaties van maatschappelijk belang en zorgt ervoor dat zij kunnen rekenen op ondersteuning. Gelet op het dreigingslandschap (zoals bijvoorbeeld geschetst in het Cybersecuritybeeld Nederland 2023) en de daaruit volgende risico’s is het van belang dat bedrijven en organisaties hier weerbaar tegen zijn."

'Extra tijd benutten'

De woordvoering van Justitie stelt wel optimistisch dat het NIS2-uitstel zeker niet hoeft te betekenen dat bedrijven nog niet aan de slag kunnen gaan. Zij kunnen zeker al maatregelen nemen om hun cyberbeveiliging te verbeteren. "Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen en aanvullen door deze te detecteren, te monitoren, op te lossen en te melden."

"Door de tussenliggende periode tussen inwerkingtreding Europese richtlijnen en Nederlandse wetgeving hebben organisaties extra tijd om zich goed voor te bereiden." Het is echter de vraag of en in hoeverre bedrijven en organisaties zich daarop zullen storten. Bij eerdere nieuwe wetten en regels voor bijvoorbeeld cookieplaatsing en dataprotectie is er in de praktijk ook niet bepaald een goede voorsprong genomen.

Breder, complexer en meer toezicht

Bovendien is NIS2 behoorlijk impactvol qua reikwijdte. Daarnaast is de Nederlandse overheid ook bezig met de CER-richtlijn (Critical Entities Resilience), die ook de deadline van 17 oktober niet gaat halen. "De implementatie van de zowel de CER- als de NIS2-richtlijn is een omvangrijk en complex traject vanwege de grote hoeveelheid partijen die betrokken zijn bij de totstandkoming van deze wetgeving", geeft de woordvoering van Justitie en Veiligheid aan.

"Naast de complexiteit is ook de impact van de richtlijnen groter ten opzichte van de NIS1-richtlijn. De NIS2-richtlijn is van toepassing op meer sectoren en meer organisaties, en daarnaast wordt er ook meer van de organisaties gevraagd. Namelijk een zorgplicht (beveiligingseisen) en meldplicht bij incidenten. Tot slot heeft het ook voor de overheid een grote impact, vanwege de uitbreiding van het toezicht en ondersteuningstaken."

Mogelijk EC-boete

Het ministerie erkent in reactie op AG Connect ook dat het mogelijk is dat Nederland beboet gaat worden voor het niet behalen van de deadline. "De Europese Commissie beschouwt niet-tijdige implementatie van EU-wetgeving als een ernstige inbreuk op het Unierecht. Zodra de implementatietermijn voor een richtlijn is verstreken, ontvangen lidstaten die de richtlijn niet hebben omgezet automatisch een ingebrekestelling."

"Dergelijke inbreuken zitten niet tussen de maandelijkse formele lijsten waarover het College eerst dient te besluiten, maar worden automatisch verstuurd. Inbreukprocedures bestaan eerst uit een administratieve fase (ingebrekestelling, met reden omkleed advies) die gevolgd kan worden door een contentieuze fase (procedure voor het EU-Hof)."

"Wanneer Nederland niet tijdig melding heeft gemaakt van de afgeronde implementatie van een richtlijn kan de Commissie meteen in de eerste procedure voor het Hof een boete en dwangsom eisen (zie artikel 260, lid 3, EU-Werkingsverdrag)." De woordvoering van het ministerie verwijst ook nog naar een EC-voorstel aan het Europese Hof van Justitie voor aanpassing van gegevens die worden gebruikt om de hoogte van boetes te bepalen voor inbreukprocedures.