Het omzetten van de NIS2- en CER-richtlijn in nationale wetgeving neemt door de complexiteit meer tijd in beslag dan gedacht. De implementatiedeadline van 24 oktober 2024 gaat het kabinet dan ook niet halen. Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius, die de regie van de implementatie van de richtlijnen op zich neemt, hoopt de wetsvoorstellen komend najaar aan de Tweede Kamer aan te bieden. Dat schrijft de bewindsvrouw in een brief aan de Tweede Kamer.
‘NIS’ staat voor Network and Information Security. NIS2 is de opvolger van de eerste NIS-richtlijn, die in 2016 in ons land vorm kreeg met de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De nieuwe richtlijn focust zich op digitale gevaren die netwerk- en informatiesystemen bedreigen, zoals cyberaanvallen, zeroday exploits en ransomware. De Europese Commissie streeft er met de NIS2-richtlijn naar om de beveiliging van netwerk- en informatiesystemen gelijk te trekken in de Europese Unie.
De richtlijn bepaalt onder meer dat er een zorg- en meldplicht komt voor zowel private als publieke organisaties in sectoren als de zorg, energievoorziening, financiën, digitale infrastructuur en het openbaar bestuur. Verder zijn er afspraken gemaakt over uitwisseling van dreigingsinformatie tussen lidstaten en komt er een Europese database voor kwetsbaarheden. Tot slot moeten bedrijven en organisaties aan strengere verplichtingen voldoen op het gebied van cybersecurity.
‘CER’ is een acroniem dat staat voor Critical Entities Resilience. Deze richtlijn richt zich op de bescherming van publieke en private organisaties tegen fysieke risico’s als terroristische aanslagen, sabotage en natuurrampen.
Beide richtlijnen vertalen in nationale wetgeving, vraagt meer tijd dan verwacht, zo schrijft minister Yeşilgöz-Zegerius vandaag in een brief die gericht is aan de Tweede Kamer. “De conceptwetsvoorstellen zullen naar verwachting voor de zomer van 2024 in consultatie worden gebracht. Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeer ik dat de implementatiedeadline van de Europese Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald”, aldus de minister.
Als de consultatieronde is afgerond worden de wetsvoorstellen voorgelegd aan de Afdeling Advisering van de Raad van State, een van de belangrijkste adviesorganen van de regering. Als die een positief advies geeft over de wetsvoorstellen, worden ze doorgestuurd naar de Tweede Kamer. Minister Yeşilgöz-Zegerius hoopt de wetsvoorstellen komend najaar aan te bieden.
De bewindsvrouw zegt er alles aan te doen om de wetsvoorstellen zo snel mogelijk gereed te hebben. Ze benadrukt dat bedrijven en organisaties niet moeten afwachten totdat de nieuwe wet- en regelgeving gereed is, maar nu al maatregelen moeten nemen om hun bedrijfsprocessen te beschermen. “Organisaties die nu al in actie komen beveiligen zich niet alleen tegen bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving”, zo schrijft de minister.
Ze somt diverse concrete maatregelen op die bedrijven en organisaties nu al kunnen ondernemen. “Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen en aanvullen door deze te detecteren, te monitoren, op te lossen en te melden.”
Minister Yeşilgöz-Zegerius belooft de Tweede Kamer op de hoogte te houden van de voortgang van de implementatie.
