Naleving van cybersecuritywet NIS2 voorlopig niet afdwingbaar, erkent ministerie van Justitie en Veiligheid
Het feit dat Nederland de deadline niet haalt voor het omzetten van de Europese cybersecurityrichtlijn NIS2 in nationale wetgeving krijgt in de praktijk wel wat gevolgen. Één daarvan is dat "de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar" is, antwoordt het ministerie van Justitie en Veiligheid op vragen van AG Connect. Een ander gevolg is dat de Europese Commissie mogelijk een boete oplegt.
Op de valreep van januari is officieel naar buiten gekomen dat de Nederlandse overheid er niet in gaat slagen om de EU-richtlijn voor betere cybersecurity te implementeren in wetgeving voor ons land. De voorbereidende stappem voor de consultatie over deze Nederlandse implementatie loopt uitstel op. Daardoor wordt de deadline van 17 oktober níet gehaald, heeft demissionair minister Dilan Yeşilgöz-Zegerius laten weten.
Zou niet moeten uitmaken
Geruchten over dat uitstel waren enkele weken eerder al ter ore gekomen van AG Connect. Navraag leverde toen echter geen bevestiging op. Enkele experts hebben wel hun licht laten schijnen op deze kwestie. Daaronder de stelling dat uitstel voor NIS2 eigenlijk voor de praktijk niet echt zou moeten uitmaken. Maar ook de constatering dat hier sprake is van een discrepantie tussen de realiteit en de papieren werkelijkheid waarin het ministerie van Justitie en Veiligheid leeft.
Het ministerie, dat regie voert over de vertaling van de EU-richtlijn in Nederlandse wetgeving, is met een reactie gekomen op de vragen van AG Connect. Daarin wordt het tijdspad geschetst voor de vertraagde implementatie. "Het streven is nu dat conceptwetsvoorstellen voor de zomer 2024 in consultatie worden gebracht", aldus de woordvoering.
"Na verwerking van de consultatiereacties zullen de wetsvoorstellen worden voorgelegd aan de Raad van State voor advies. Het streven is dat het in het najaar van 2024 aan de Kamer wordt aangeboden voor parlementaire behandeling." Het is momenteel niet duidelijk hoe lang dat dan gaat duren. De huidige voortslepende gespreken over een nog te formeren regering kunnen ook nog voor vertraging zorgen.
Maar maakt wel uit
Ondertussen wordt al wel duidelijk dat het uitstel voor NIS2 in de praktijk wel iets kan uitmaken. Dit ondanks de voor CISO's logische beveiligingsmaatregelen die daarin verplicht worden gesteld. Het ministerie van Justitie en Veiligheid geeft zelf aan dat de verlate implementatie als gevolg heeftdat de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar zal zijn.
"Het wetsvoorstel regelt nieuwe beveiligingseisen en toezicht voor organisaties van maatschappelijk belang en zorgt ervoor dat zij kunnen rekenen op ondersteuning. Gelet op het dreigingslandschap (zoals bijvoorbeeld geschetst in het Cybersecuritybeeld Nederland 2023) en de daaruit volgende risico’s is het van belang dat bedrijven en organisaties hier weerbaar tegen zijn."
'Extra tijd benutten'
De woordvoering van Justitie stelt wel optimistisch dat het NIS2-uitstel zeker niet hoeft te betekenen dat bedrijven nog niet aan de slag kunnen gaan. Zij kunnen zeker al maatregelen nemen om hun cyberbeveiliging te verbeteren. "Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen en aanvullen door deze te detecteren, te monitoren, op te lossen en te melden."
"Door de tussenliggende periode tussen inwerkingtreding Europese richtlijnen en Nederlandse wetgeving hebben organisaties extra tijd om zich goed voor te bereiden." Het is echter de vraag of en in hoeverre bedrijven en organisaties zich daarop zullen storten. Bij eerdere nieuwe wetten en regels voor bijvoorbeeld cookieplaatsing en dataprotectie is er in de praktijk ook niet bepaald een goede voorsprong genomen.
Breder, complexer en meer toezicht
Bovendien is NIS2 behoorlijk impactvol qua reikwijdte. Daarnaast is de Nederlandse overheid ook bezig met de CER-richtlijn (Critical Entities Resilience), die ook de deadline van 17 oktober niet gaat halen. "De implementatie van de zowel de CER- als de NIS2-richtlijn is een omvangrijk en complex traject vanwege de grote hoeveelheid partijen die betrokken zijn bij de totstandkoming van deze wetgeving", geeft de woordvoering van Justitie en Veiligheid aan.
"Naast de complexiteit is ook de impact van de richtlijnen groter ten opzichte van de NIS1-richtlijn. De NIS2-richtlijn is van toepassing op meer sectoren en meer organisaties, en daarnaast wordt er ook meer van de organisaties gevraagd. Namelijk een zorgplicht (beveiligingseisen) en meldplicht bij incidenten. Tot slot heeft het ook voor de overheid een grote impact, vanwege de uitbreiding van het toezicht en ondersteuningstaken."
Mogelijk EC-boete
Het ministerie erkent in reactie op AG Connect ook dat het mogelijk is dat Nederland beboet gaat worden voor het niet behalen van de deadline. "De Europese Commissie beschouwt niet-tijdige implementatie van EU-wetgeving als een ernstige inbreuk op het Unierecht. Zodra de implementatietermijn voor een richtlijn is verstreken, ontvangen lidstaten die de richtlijn niet hebben omgezet automatisch een ingebrekestelling."
"Dergelijke inbreuken zitten niet tussen de maandelijkse formele lijsten waarover het College eerst dient te besluiten, maar worden automatisch verstuurd. Inbreukprocedures bestaan eerst uit een administratieve fase (ingebrekestelling, met reden omkleed advies) die gevolgd kan worden door een contentieuze fase (procedure voor het EU-Hof)."
"Wanneer Nederland niet tijdig melding heeft gemaakt van de afgeronde implementatie van een richtlijn kan de Commissie meteen in de eerste procedure voor het Hof een boete en dwangsom eisen (zie artikel 260, lid 3, EU-Werkingsverdrag)." De woordvoering van het ministerie verwijst ook nog naar een EC-voorstel aan het Europese Hof van Justitie voor aanpassing van gegevens die worden gebruikt om de hoogte van boetes te bepalen voor inbreukprocedures.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeOp 31 januari 2024 heeft de Europese Raad eIDAS 2.0 geaccordeerd, dit wordt komende week gepubliceerd.
Er is geen weg meer terug ook de Nederlandse overheid moet aan de slag en wordt o.a. verplicht iedere ingeschreven inwoner gratis te voorzien van een Digitale Identiteit op beveiligingsniveau Hoog. Aangezien DigiD hier niet aan voldoet zal men voor een andere oplossing moeten kiezen.