Implementatie NIS2-richtlijn uitgesteld: dit betekent het voor jou

Eind januari maakte de minister van Justitie en Veiligheid bekend dat de Nederlandse uitwerking van de Europese NIS2-richtlijn vertraging heeft opgelopen. De implementatie had op 17 oktober klaar moeten zijn, maar dat wordt niet gehaald. Die beslissing brengt vragen met zich mee. Want hoelang gaat de vertraging duren? Wat betekent dat voor jouw organisatie? Wanneer gaan de zorgplicht en meldplicht in? En wanneer start het toezicht? Onze public policy manager Jelmer Schreuder vertelt je hoe het zit. 

NIS2-richtlijn

De EU heeft een nieuwe versie van de Netwerk en Informatie Beveiliging Richtlijn aangenomen: beter bekend als de NIS2. Deze Europese richtlijn wordt 17 oktober van kracht, maar moet daarvoor in nationale wetgeving worden uitgewerkt. De Nederlandse overheid gaat de implementatie van de richtlijn in de Nederlandse wetgeving op deze datum echter niet redden. Het omzetten van de richtlijn in nationale wetgeving vraagt meer tijd dan ze dachten. 

Deze vertraging komt niet als een verrassing. Streefdatum na streefdatum verliep zonder conceptwet. Voor velen was het wel duidelijk dat het inmiddels onmogelijk was om het volledige wetgevingstraject voor de implementatiedeadline te doorlopen. In dat opzicht is het een opluchting dat de minister dit nu ook erkent. Op dit punt kunnen we het gesprek starten over de gevolgen van de vertraging.  

Wil je op de hoogte blijven van de laatste informatie? Houd dan ons kennisbankartikel in de gaten: De NIS2 komt eraan: wat betekent dit voor jouw bedrijf?

Hoelang gaat de vertraging duren?

We vallen maar meteen met de deur in huis: dat kunnen we niet met zekerheid zeggen. De minister sprak het streven uit om de wet dit najaar aan het parlement aan te bieden. Hiervoor moeten echter nog enkele grote stappen gezet worden. Zo moet er een publieke consultatie van de conceptwet en advies van de Raad van State komen. Deze reacties moeten verwerkt worden en het resultaat moet vervolgens aan de Tweede en Eerste Kamer voorgelegd worden.  

Een implementatiedeadline aan het einde van het jaar is haalbaar, maar blijft zelfs met dit uitstel krap. Over het algemeen geldt: hoe later een conceptvoorstel gepubliceerd wordt, hoe later de wet aangenomen kan worden. Zodra er een openbaar concept ligt, kunnen we dit beter inschatten. 

Wat betekent het voor jouw organisatie?

Opvallend genoeg doet de minister geen uitspraken over de praktische gevolgen van de vertraging, maar we kunnen er wel een inschatting van maken. In de praktijk betekent het dat organisaties die nu nog niet onder de NIS1 en WBNI vallen, ook nog niet onder toezicht komen te staan tot de Nederlandse wet is ingevoerd. Organisaties die al wel onder de NIS1 vallen kunnen mogelijk al wel aan nieuwe standaarden van de NIS2 gehouden worden, indien anders dan het huidige regime van NIS1 en AMvBs. 

Ook onduidelijk is wat dit gaat betekenen voor de rol van de CSIRTs (het NCSC voor de digitale sector). Kan je na 17 oktober het NCSC bij grote incidenten om hulp vragen als je nog niet formeel tot hun werkgebied behoort? Hier is nog geen formeel antwoord op, maar onze verwachting is dat het NCSC of het DTC deze taken al wel op zullen pakken. Hetzelfde verwachten we van de meldplicht. De overheid moet om te beginnen natuurlijk bekend maken hoe en waar deze meldingen gedaan moeten worden. Wij adviseren je erop voor te bereiden om hier vanaf 17 oktober gebruik van te maken. 

Ons advies? Ga ondanks deze vertraging zo snel mogelijk aan de slag met wat we al wel weten. Naast de genoemde meldplicht betreft dit met name de bepalingen uit artikel 21 lid 2 van de NIS2, waarin de maatregelen voor het beheer van cyberbeveiligingsrisico’s zijn opgenomen. Maak een analyse. Waar sta je? Welke risico’s zijn er? En wat kun je daaraan doen? Als je dat doet hebben toezichthouders waarschijnlijk veel meer begrip wanneer je nog niet aan elk detail voldoet. Heb je totaal geen inspanningen gedaan op dit vlak? Dan komen zelfs de heftige bepalingen zoals een beroepsverbod voor je bestuurders in beeld. Laat dit uitstel dus niet tot afstel leiden! 

Heb je vragen? Neem dan contact op met Jelmer Schreuder.

Jelmer Schreuder

Public policy manager

Neem contact op met
Jelmer Schreuder

Het laatste nieuws

Nieuwe Ethische Code AI gelanceerd: ‘Meer dan alleen principes’

24 april 2024

In een tijd waarin AI de potentie heeft om maatschappelijke en economische vraagstukken op te lossen, is het van essentieel belang dat deze innovaties verantwoord plaatsvinden. De Ethische Code AI helpt hierbij.

Avg & privacy

Bijna 10.000 nieuwe ICT-talenten opgeleid via CA-ICT

16 april 2024

Via opleidingsfonds CA-ICT steunen en organiseren wij projecten voor om- en bijscholing voor de ICT-sector. Er zijn mooie resultaten behaald met scholingsprojecten.

Opleiding & arbeidsmarkt

Het belang van innovatief aanbesteden: een stap naar een succesvolle digitale overheid

12 april 2024

Op 28 maart organiseerde NLdigital in samenwerking met Digicampus een bijeenkomst die de urgentie en impact van innovatief aanbesteden benadrukte.

Samenwerken met de overheid

Rapport: ICT Markttoets Content Services Platform voor BZK

21 maart 2024

Eind februari organiseerde NLdigital een ICT Markttoets over een nieuw Content Services Platform (CSP). Dit in opdracht van het ministerie van BZK voor het programma Beter Samen Werken. Het rapport is vanaf nu beschikbaar.

Samenwerken met de overheid

Noodkreet bedrijfsleven en kennisorganisaties: sloop van innovatieklimaat dreigt

7 maart 2024

Het innovatie- en ondernemersklimaat staat onder druk in Nederland. Dit stelt een grote groep van bedrijven en kennisorganisaties. Zij uiten hun zorgen over de innovatiekracht en het verdienvermogen van Nederland in een brandbrief.

Politiek & wetgeving