Auteur: Bart de Leeuw (DTX) & Julian van Sijp (Bluebird & Hawk)
Wat is de NIS2-richtlijn?
In onze eerdere blogpost “NIS2 komt eraan!” hebben we gekeken naar wat de NIS2-richtlijn inhoudt. Omdat het nu ongeveer anderhalf jaar geleden is dat deze blog werd gepubliceerd, is het tijd voor een update.
De NIS2 is een richtlijn vanuit de Europese Unie met als doel het cybersecurityniveau in de Unie te verhogen en te waarborgen. De richtlijn legt verplichtingen op aan een breed scala van sectoren, van de gezondheidszorg tot de financiële sector, om deze ‘kritieke’ en ‘belangrijke’ sectoren te beschermen. De NIS2 bouwt voort op de oorspronkelijke NIS-richtlijn en introduceert strengere maatregelen en een breder toepassingsgebied, waardoor meer organisaties onder de regelgeving vallen. EU-lidstaten moeten de NIS2-richtlijn in hun nationale wetgeving opnemen.
Voor meer informatie over de verschillende NIS2-eisen en de sectoren die hieraan moeten voldoen, kan je de blog van DTX, de NCSC-website of Digital Trust Center raadplegen. Ook is de letterlijke Nederlandse vertaling van de Europese NIS2-richtlijn hier te vinden.
Hoe staat het nu met de NIS2-richtlijn?
Op 16 januari 2023 ging de implementatietermijn van 21 maanden in voor EU-lidstaten om NIS2 op te nemen in hun nationale wetgeving, welke een deadline van 17 oktober 2024 stelt. De Nederlandse regering heeft echter begin 2024 aangegeven dat meer tijd nodig is en deze deadline niet zal halen. Men verwacht dat de Nederlandse uitwerking van de NIS2-richtlijn, die de naam Cyberbeveiligingswet krijgt, medio 2025 van kracht wordt. Deze wet vervangt dan de huidige wet beveiliging netwerk- en informatiesystemen, de Nederlandse uitwerking van de NIS1-richtlijn.
Van 21 mei 2024 tot 2 juli 2024 werd een consultatieperiode gehouden om het brede publiek te betrekken bij de omzetting van de NIS2-richtlijn naar nationale wetgeving. Gedurende deze tijd hadden burgers, bedrijven en instellingen de gelegenheid om verbeteringsvoorstellen voor het wetsvoorstel in te dienen. Na afloop van deze periode ligt de verdere ontwikkeling van de cyberbeveiligingswet weer volledig in handen van de politiek.
Eind 2024 zal er een gedetailleerde specificatie van de cyberbeveiligingswet gefinaliseerd worden in de vorm van een Algemene Maatregel van Bestuur (AMvB). Hierna volgt wederom een publieke internet consultatie. Het AMvB zal zich met name focussen op:
- Incidentrapportage
- Registratieplicht van entiteiten
- De zorgplicht (security vereisten)
In het tweede kwartaal van 2025 wordt de implementatie van de cyberbeveiligingswet verwacht. Tot die tijd zullen toezichthouders zoals de Rijksinspectie Digitale Infrastructuur niet handhaven op de NIS2-richtlijn of cyberbeveiligingswet.
Start vandaag nog met verbeteren
Hoewel de deadline is verschoven, is het voor organisaties belangrijk om niet stil te zitten. Start direct met het invoeren van vereisten om aan de NIS2-richtlijn te voldoen.
Het is raadzaam om op tijd te zijn, omdat er in Nederland een tekort is aan IT-providers die alle organisaties die onder de wet vallen kunnen ondersteunen. Naast de bredere reikwijdte van NIS2 vergeleken met NIS1, draagt ook de uitbreiding van wetgevingen zoals BIO2 en DORA bij aan deze ondercapaciteit.
Wat kan je doen?
Ben je tot het inzicht gekomen dat het belangrijk is om vandaag nog aan de slag te gaan bij:
- Jouw organisatie
- Organisaties in jouw bedrijfsketen
- Een van jouw klanten
Bluebird & Hawk heeft samen met DTX de NIS2-Toolkit ontwikkeld om jou het gereedschap te geven om NIS2-compliant te worden.
Bekijk de NIS2-Toolkit website of vind hem hier de Microsoft Azure Marketplace.