17 oktober 2024 gaat de Europese NIS2-richtlijn voor cybersecurity officieel in. Nederland heeft de richtlijn echter nog niet geïmplementeerd in de eigen wetgeving en gaat de deadline niet halen. De NIS2 gaat intussen wel in. Wat betekent dit in de praktijk?

De NIS2-richtlijn in het kort

NIS staat voor Network and Information Systems. De NIS2 is de opvolger van richtlijn nummer 1. Deze Europese richtlijn geldt vanaf 17 oktober aanstaande binnen de hele EU.

Het doel van de NIS2-richtlijn?

De cyberveiligheid binnen de EU naar een hoger niveau te tillen. Daarvoor moeten Europese organisaties weerbaar worden gemaakt tegen cyberrisico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.

Let op!

De NIS2-richtlijn geldt zowel voor organisaties in sectoren die nu onder de NIS1-richtlijn vallen, als voor een groot aantal nieuwe sectoren. Ook de IT-sector wordt door de nieuwe richtlijn geraakt. Deze richtlijn legt een zorgplicht, meldplicht en registratieplicht op aan organisaties die onder de reikwijdte van de richtlijn vallen.

Deadline van 17 oktober wordt in Nederland niet gehaald

De Europese NIS2-richtlijn moet geïmplementeerd worden in lokale wetgeving. De richtlijn laat een aantal punten open voor nationale invulling, dus er zullen door Nederlands keuzes moeten worden gemaakt.

De deadline hiervoor is 17 oktober 2024. Afgelopen februari liet demissionair minister Dilan Yeşilgöz-Zegerius echter weten dat de Nederlandse overheid de implementatiedeadline niet zou halen. Nederland mikt nu op begin 2025.

Is dat een probleem?

Buiten het feit dat de cyberrisico’s steeds groter worden en het daarom heel relevant is om weerbaar te zijn, is een aantal Europese landen voortvarender te werk gegaan met de implementatie van de NIS2-richtlijn. Zo is het zeer waarschijnlijk dat Duitsland en België de deadline wel gaan halen en vanaf dat moment verwachten dat (Nederlandse) leveranciers ook NIS2-proof zijn.

Nederlandse bedrijven lopen dan ook het risico om buitenlandse klanten kwijt te raken als zij de NIS2-richtlijn niet tijdig implementeren, zo valt te lezen op de website Samen Digitaal Veilig, een initiatief van MKB-Nederland en VNO-NCW. Deze website is speciaal opgericht om organisaties te helpen bij de implementatie van de NIS2-richtlijn.

Aan alle kanten worden Nederlandse organisaties gewaarschuwd om aan de verplichtingen uit de NIS2-richtlijn te voldoen, als deze op hen van toepassing is. Met of zonder Nederlandse wet. Zelfs de Rijksoverheid adviseert organisaties om niet af te wachten, maar nu al aan de slag te gaan.

Internetconsultatie voor Nederlandse wetgeving geopend

Overigens is het Nederlandse wetsvoorstel voor de implementatie van de NIS2-richtlijn nu wel in te zien. Onlangs is het Ministerie van Justitie en Veiligheid gestart met de internetconsultatie van de Cyberbeveiligingswet, de Nederlandse vertaling van de NIS2-richtlijn.

U heeft dus nu de gelegenheid om het wetsvoorstel te bekijken en zelfs verbetervoorstellen in te brengen. Tot en met 1 juli 2024 kunt u suggesties doen ter verbetering van de voorgestelde Cyberbeveiligingswet.

Na afloop van de consultatieperiode worden de reacties bekeken en indien nodig wordt het wetsvoorstel aangepast.

Zo bereidt u zich tijdig voor

Uit bovenstaande blijkt dat het verstandig is om niet te wachten tot de Cyberbeveiligingswet in Nederland is ingevoerd. De Europese NIS2-richtlijn ligt er al een tijdje en die moet hoe dan ook worden nageleefd.

Daarom is het verstandig om uw organisatie nu al NIS2-proof te maken, als u onder de richtlijn valt. Zeker als u veel zakendoet met andere Europese landen.

Om u hierbij te helpen, hebben wij een aantal handige bronnen en artikelen onder elkaar gezet. Hier kunt u meer informatie vinden om concreet aan de slag te gaan met de implementatie van de NIS2-richtlijn.

Blijf op de hoogte!

Zeker weten dat u niks mist? Meldt u zich dan nu aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.