Op 17 oktober 2024 moeten alle Europese lidstaten de NIS2-richtlijn voor cybersecurity hebben geïmplementeerd in hun nationale wetgeving. Gaat Nederland dit halen? Zeker niet, maar dat geldt voor meer landen. Tegelijkertijd zijn belangrijke handelspartners als Duitsland en België ons een grote stap voor. Dit kan verregaande gevolgen hebben als u toeleverancier of partner bent van deze EU-lidstaten. Wij leggen u uit waarom én hoe u zich kunt voorbereiden.

NIS2 nog niet omgezet naar Nederlandse wetgeving

De Europese NIS2-richtlijn dwingt organisaties in tal van sectoren om maatregelen te treffen die de cybersecurity naar een hoger niveau tillen.

In Nederland wordt de NIS2-richtlijn geïmplementeerd in de Cyberbeveiligingswet (Cbw). Deze wet zou eigenlijk op 17 oktober 2024 in werking moeten treden, maar deze datum wordt niet gehaald.

Op dit moment is het de verwachting dat de Cyberbeveiligingswet medio 2025 in werking zal treden.

Wat dit concreet inhoudt?

Dat in Nederland gevestigde organisaties die onder de NIS2-richtlijn vallen, pas aan de verplichtingen uit de richtlijn hoeven te voldoen als de Cyberbeveiligingswet in werking treedt. Naar verwachting medio volgend jaar dus.

Hoe wordt de NIS2-richtlijn vertaald naar Nederlandse wetgeving?

De NIS2-richtlijn gaat uit van minimumharmonisatie.

Dit houdt in dat de verplichtingen uit de richtlijn minimumvereisten zijn. Het staat iedere lidstaat vrij om op onderdelen een hoger niveau van cyberbeveiliging vast te stellen.

Nederland heeft aangegeven dit te willen doen, maar ook in de Cyberbeveiligingswet worden niet al die strengere eisen geregeld. Voor veel onderwerpen (bijvoorbeeld voor de zorgplicht uit de NIS2-richtlijn) geeft de Cyberbeveiligingswet aan dat dit nader zal worden geregeld in Algemene Maatregelen van Bestuur (‘AMvB’) of ministeriële regelingen.

Dat is nadelig.

Na de inwerkintreding van de Cbw weten organisaties namelijk nog steeds niet precies aan welke wettelijke verplichtingen ze moeten voldoen.

Handelspartners binnen de EU wel klaar voor NIS2

Hoewel veel Europese landen nog niet klaar zijn met het implementeren van de NIS2 in hun eigen wetgeving, zijn belangrijke handelspartners van Nederland ons voor.

Zo is de NIS2-wetgeving binnenkort een feit in België. De nationale NIS2-implementatiewet treedt daar op 18 oktober 2024 in werking. Onze grootste handelspartner Duitsland verwacht de wet in maart 2025 in werking te laten treden.

Wat dit voor u betekent?

Dat ligt eraan of u zaken doet met organisaties in andere Europese landen. Een belangrijk aspect van de NIS2-richtlijn is namelijk dat niet alleen de organisatie zelf, maar ook diens partners en leveranciers moeten voldoen aan bepalingen uit de gestelde regelgeving.

Als uw Duitse handelspartner in maart aan de wetgeving moet voldoen, dan zal deze partner van u als partner of toeleverancier verwachten dat u aan bepaalde beveiligingsmaatregelen die uit NIS2 volgen voldoet.

Voor België geldt dit zelfs deze maand al.

Kortom, het is zaak om te weten wanneer de lidstaten waarmee uw organisatie zakendoet de implementatie van de NIS2-richtlijn op de planning hebben staan en te zorgen dat uw organisatie dan ook NIS2-proof is.

De verplichtingen uit de NIS2-richtlijn in het kort

Hoewel de Cyberbeveiligingswet in Nederland nog niet bekend of van kracht is, kunt u zich wel voorbereiden op de komst ervan. De minimumeisen en verplichtingen liggen immers in grote lijnen al vast in de NIS2-richtlijn.

De belangrijkste verplichtingen die straks terug te vinden zijn in de Cyberbeveiligingswet staan hieronder kort opgesomd.

Zorgplicht

De NIS2-richtlijn verplicht organisaties om een risicobeoordeling op het gebied van cybersecurity uit te voeren. Op basis hiervan moet een organisatie passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, om incidenten te voorkomen en de gevolgen van incidenten te beperken.

Bestuur

De leden van het bestuur van entiteiten die onder de Cyberbeveiligingswet (NIS2) vallen, moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Bestuursleden dienen daartoe een opleiding te volgen.

Registratieplicht

Organisaties die onder de NIS2-richtlijn vallen, zijn verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum gewerkt aan een online omgeving waarin organisaties zichzelf registreren en aanmelden als NIS2-entiteit.

Meldplicht

De meldplicht houdt in dat organisaties melding moeten maken bij de bevoegde autoriteit als ze getroffen zijn door een incident dat aanzienlijke gevolgen heeft voor hun dienstverlening. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren.

In Nederland moeten deze incidenten onverwijld, en indien niet mogelijk, binnen 24 uur gemeld worden bij het Computer Security Incident Response Team en de toezichthouder. Het Nationaal Cyber Security Centrum gaat een centraal meldpunt inrichten.

Aan de slag met de voorbereiding voor de Cyberbeveiligingswet

Hoewel de Cyberbeveiligingswet dus nog even op zich laat wachten, is het verstandig om u nu al voor te bereiden op de komst ervan. Zeker als u veel zakendoet met andere Europese landen.

Het Nationaal Cyber Security Centrum adviseert u ter voorbereiding op de Cyberbeveiligingswet tenminste de volgende 3 stappen te zetten.

1. Risicoanalyse maken: onderzoek voor uw organisatie welke belangen u moet beschermen, welke dreigingen er zijn en wat de huidige weerbaarheid is. Bekijk daarnaast wie de toeleveranciers zijn en welke afspraken daarmee gemaakt zijn.

2. Passende maatregelen nemen: op basis van de risicoanalyse kan het nodig zijn maatregelen te nemen om de cybersecurity te verbeteren. Denk aan het bevorderen van veilig gedrag door medewerkers of het verankeren van risicomanagement binnen de organisatie.

3. Procedures opstellen voor incidenten: hiermee kunt u cybersecurity incidenten adequaat detecteren, monitoren, oplossen en melden.

Naast dit stappenplan hebben we hieronder een aantal handige bronnen en artikelen onder elkaar gezet. Hier kunt u meer informatie vinden om concreet aan de slag te gaan met de implementatie van de NIS2-richtlijn.

• Valt uw organisatie onder de NIS2-richtlijn voor cybersecurity?

• Zelf-evaluatie tool van de Rijksoverheid om te bepalen of de NIS2-richtlijn op u van toepassing is

• Welke verplichtingen brengt de NIS2-richtlijn met zich mee?

• De NIS2-zorgplicht in 10 maatregelen

• NIS2-startpunt van het Digital Trust Center

• Voorbereiding Cyberbeveiligingswet van het Nationaal Cyber Security Centrum

• Samen Digitaal Veilig van MKB-Nederland en VNO-NCW

Zeker weten dat u niks mist?

Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.