De implementatie van de NIS2- en CER-richtlijnen in Nederland zal naar verwachting pas in het derde kwartaal van 2025 worden afgerond, ondanks de oorspronkelijke deadline van 17 oktober 2024. Overigens is België het enige land dat voor de deadline de Europese NIS2-richtlijn volledig heeft omgezet in lokale wetgeving. De 25 andere Europese lidstaten halen de deadline dus niet. Nederland kondigde al in januari aan de deadline niet te halen.
Petra Claessen, voorzitter BTG: “De voortdurende vertraging in de implementatie van de NIS2-richtlijn is zorgwekkend, vooral gezien de groeiende dreiging van cyberaanvallen die onze vitale infrastructuren onder druk zetten. Iedere dag dat we niet voldoen aan de nieuwe eisen, lopen bedrijven en organisaties extra risico’s. Hoewel zorgvuldigheid belangrijk is, moeten we nu versneld actie ondernemen. Cyberdreigingen stoppen niet terwijl wij wachten op wetgeving. De overheid, maar ook bedrijven, hebben een gezamenlijke verantwoordelijkheid om nu proactief maatregelen te treffen om onze weerbaarheid te verhogen. BTG zal zich met haar leden hier sterk voor maken, onder meer door adequate voorlichting via masterclasses en dergelijke.”
Minister David van Weel van Justitie en Veiligheid stelt in een brief aan de Tweede Kamer dat de vertraging komt doordat ‘de omzetting naar nationale wetgeving een omvangrijk en complex traject is. NIS2 en CER worden momenteel omgezet in Nederlandse wetten, respectievelijk de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Van Weel stelt in zijn Kamerbrief dat beide wetten een belangrijke basis zullen vormen voor het cybersecuritystelsel en de weerbaarheid van de vitale infrastructuur. Daarom zijn ze “van grote waarde voor het verhogen van de weerbaarheid van ons land”.
Complexiteit omzetting kost tijd
“De impact voor Nederlandse organisaties is aanzienlijk en er zijn ten opzichte van bestaande wetgeving meer sectoren en meer organisaties die moeten voldoen aan de nieuwe wetgeving. Daarnaast hecht ik grote waarde aan het zorgvuldig verwerken van de circa 150 reacties die zijn binnengekomen tijdens de internetconsultatie en de interdepartementale afstemming hierover.”
De vertraging komt dus door de complexiteit van de omzetting naar nationale wetgeving. Hoewel er voorlopig geen verplichtingen gelden, worden organisaties aangemoedigd om vrijwillige maatregelen te nemen ter verbetering van hun cyberbeveiliging. Daarnaast krijgen sommige organisaties per oktober 2024 rechten, zoals hulp van een Computer Incident Response Team (CSIRT) bij cyberincidenten.
De NIS2-richtlijn richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. De CER-richtlijn richt zich op de bescherming van organisaties tegen fysieke dreigingen, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen.