Uitstel voor NIS2, zou voor de praktijk niet echt moeten uitmaken
- NIS2 loopt vertraging op voor implementatie in Nederlandse wet
- Toch gaat die Europese cybersecuritywet wél op 17 oktober in
- Maar dan met nog wat onduidelijkheden
- Lees ook: Wie valt onder de NIS2? Nieuwe overheidstool geeft het antwoord
Nederlandse bedrijven en overheidsorganisaties krijgen toch niet per 17 oktober te maken met een Nederlands-uitgewerkte cybersecuritywet NIS2. Want de invoering van die impactvolle Europese richtlijn in Nederlandse wetgeving loopt nu vertraging op. Toch geldt NIS2 dan wel. De reacties zijn gemengd. "Ik zou dit niet zien als een adempauze."
De herziening van de al sinds 2016 geldende Network and Information Security Directive (NIS), die dus NIS2 heet, is al jaren in aantocht. En loopt nu vlak voor de finish van implementatie in Nederlandse wetgeving vertraging op. "Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht", schrijft demissionair minister Dilan Yeşilgöz-Zegerius in een brief aan de Tweede Kamer.
Europese deadline schenden
Zij geeft in dat communiqué ook aan dat dit leidt tot een domino-effect. Het nu gemelde uitstel voor de consultatie betekent dat volgende stappen in het proces ook opschuiven. Yeşilgöz-Zegerius trekt dan ook de conclusie dat de implementatiedeadline van de Europese Commissie voor NIS2 niet wordt gehaald. Hetzelfde geldt voor de CER-richtlijn (Critical Entities Resilience). Beide hebben een deadline op 17 oktober dit jaar.
Het is nog niet duidelijk wanneer NIS2 (en CER) wel geïmplementeerd zullen zijn in Nederlandse wetgeving. "Na verwerking van de consultatiereacties zullen de wetsvoorstellen aan de Afdeling advisering van de Raad van State worden voorgelegd voor advies. Ik streef ernaar de wetsvoorstellen vervolgens in het najaar van dit jaar aan uw Kamer aan te bieden", aldus de demissionaire bewindsvrouw.
Toch gaat NIS2 wél in
Dit betekent echter niet dat bedrijven en overheidsorganisaties ook echt uitstel hebben wat betreft de strengere regels die NIS2 gaat brengen. "NIS2 is een Europeese directive die ingaat op 17 oktober, of de lokale implementatiewet er nu is of niet", stelt CISO Frank Breedijk in een eerste reactie aan AG Connect.
"En dat is nu net waar de schoen wringt. Nederlandse bedrijven moeten vanaf 17-10 voldoen aan een wet waarvan we niet precies weten hoe hij in Nederland is geïmplementeerd", vervolgt de securitytopman van Schuberg Philis. Hij meent dan ook dat dit uitstel (van implementatie in de Nederlandse wet) een slechte zaak is.
De lat gaat flink omhoog
Security-expert Brenno de Winter benadrukt ook dat de inwerkingtreding echt niet opschuift. "Het feit dat de implementatie er niet is, betekent niet dat de NIS2 niet ingaat en dat de verplichtingen voor organisaties er niet gaan zijn. Daar zijn ze ook op aanspreekbaar", waarschuwt hij.
"Het betekent natuurlijk wel dat het ingrijpen door een toezichthouder op zich laat wachten. Maar ik zou dit niet zien als een adempauze. De lat gaat flink omhoog. Dat verandert niet. Er gaat dus ook geen druk van de ketel", aldus de rapporteur bij de departementaal CISO van het ministerie van Volksgezondheid, Welzijn en Sport (VWS).
"Het zal voor overheden en bedrijven veel betekenen, variërend van het bekwamen van het bestuur tot het deugdelijk inrichten van de omgevingen. Zaken als Business Continuity Management, die werden afgedaan als niet voor de wereld, worden nu opeens verplicht. Kortom: er ligt een enorme druk waar veel organisaties niet omheen kunnen. Het duurt misschien een jaartje, maar dan gaan de bestuurders wel worden aangesproken."
'Geen excuus'
Een aansporend geluid komt van Dave Maasland, CEO van securityleverancier ESET. Hij stelt dat uitstel van de consultatie geen grote belemmering is voor de markt om aan de slag te gaan. Ondanks dat er dus nog "wat losse eindjes" zijn.
"Het basisprincipe blijft een risicogebaseerde aanpak zoals ook gedefinieerd in meerdere frameworks", die reeds bekend zijn. "Kortom, dit zou de voorbereidingen van bedrijven niet in de weg moeten zitten naar mijn mening, er is geen excuus om niet aan de slag te gaan." Een goede voorbereiding is immers het halve werk.
Maasland stipt nog wel aan dat het onderwerp van cybersecurity inmiddels een flinke, internationale urgentie heeft. Hij verwijst daarbij naar toenemende geopolitieke spanningen en het feit dat het World Economic Forum (WEF) cybercrime en cyberonveiligheid als grote problemen heeft geduid, voor Nederland en voor de wereld.
Onduidelijk/duidelijk
In reactie daarop moeten cybersecurity en cyberweerbaarheid echt naar een hoger plan worden getild. NIS2 moet daar de dwang van wetgeving - en toezicht op naleving - gaan brengen. Breedijk: "Bedrijven in Europa moeten zich eraan houden, zeker als ze in andere EU-landen opereren, maar de implementatiewet, de tekst die zegt waar je je dan precies aan moet houden, ontbreekt." En dat terwijl er onder Nederlandse bestuurders al onduidelijkheid is over deze aankomende cybersecuritywet.
Dat betreft dan algemene managers, want securitytopmensen weten wel waar ze aan toe zullen zijn. "Voor het grootste gedeelte is, overigens, duidelijk waar we ons aan moeten houden", geeft Breedijk aan. "De tekst van het NIS2 directive is al beschikbaar en vertaald." "En of je als bedrijf onder de NIS2 valt kun je ook redelijk voorspellen met de NIS2 zelfevaluatie", die de Rijksoverheid aanbiedt.
Duivel in de details?
Toch is er met dat alles geen sprake van volledige duidelijkheid. Breedijk: "Er zijn ook details die niet uit deze teksten zijn af te leiden. Zo kan de overheid bijvoorbeeld organisaties die niet aan de criteria voldoen toch als vitaal of essentieel aanwijzen en zo toch onder de wet laten vallen. Zonder implementatiewet is dat onmogelijk."
Verder heeft de Europese NIS-tekst het ook over de verplichting van EU-lidstaten om actieve cyberbescherming te bevorderen. Die verplichting wordt echter niet verder gespecificeerd. Breedijk stelt dat een implementatiewet daar mogelijk helderheid over kan geven. "Het is jammer dat we als land nog even langer met deze onduidelijkheden te maken zullen krijgen."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee