De Tweede Kamer heeft een brief gepubliceerd rond de stand van zaken aangaande de implementatie van NIS2 en CER-richtlijnen. In dit artikel de belangrijkste punten uit die brief en de gevolgen voor de Nederlandse overheid, handhaving en Nederlandse organisaties die binnen scope van de richtlijnen vallen.

We hoorden einde maand al geluiden dat de consultatiefase voor de vertaling van de NIS2-richtlijn richting wetgeving is uitgesteld. Dat vinden we spijtig omdat daarmee de voorbereidingsfase voor bedrijven juist korter wordt. Op onze website hebben we als praktische ondersteuning een special gepubliceerd met de belangrijkste handvatten en moet je doen richting de nieuwe wetgeving. | www.ferm-rotterdam.nl/nis2

Implementatieproces

Het document van de overheid behandelt de implementatie van de NIS2- en CER-richtlijnen in Nederland. De NIS2-richtlijn vervangt de NIS1-richtlijn en richt zich op netwerk- en informatiebeveiliging, terwijl de CER-richtlijn zich focust op de weerbaarheid van kritieke entiteiten. Het implementatieproces is complex en vraagt om nauwkeurigheid, vooral vanwege de impact op de publieke en private sector. De omzetting naar nationale wetgeving duurt langer dan verwacht, waardoor de deadline van 17 oktober 2024 van de Europese Commissie hoogstwaarschijnlijk niet gehaald wordt.

Het niet halen van de deadline voor de implementatie van de NIS2- en CER-richtlijnen in Nederlandse wetgeving is grotendeels te wijten aan de complexiteit en de omvang van deze Europese regelgeving. Deze complexiteit vereist zorgvuldige afstemming en integratie met bestaande nationale wetten en regels. Bovendien vraagt de implementatie een grondige voorbereiding en samenwerking tussen diverse overheidsorganen en private sectorpartijen. Deze factoren dragen bij aan de vertraging in het wetgevingsproces, waardoor de gestelde deadline mogelijk niet haalbaar is. Ondanks dat het grootste gedeelte van andere Europese landen wel lukt om de deadline te halen, is de Nederlandse regering nu aan het kijken naar alternatieven en gevolgen.

Wat moeten bedrijven nu doen?

Er wordt aangeraden dat organisaties niet wachten op de nieuwe wetgeving, maar al voorbereidende maatregelen nemen. Voor sommige organisaties gelden al verplichtingen onder de huidige wetgeving. Het NCSC heeft recentelijk in een online vergadering aangegeven dat het implementeren van de bekende cybersecurity frameworks, zoals ISO 27001 en NIST, zorgt dat organisaties 99% voldoen aan de eisen zoals gesteld in de richtlijnen.

Normaal gesproken is handhaving afhankelijk van de formele implementatie van de richtlijnen in nationale wetgeving. Als Nederland de deadline niet haalt, zou dit kunnen betekenen dat de handhaving wordt uitgesteld tot de wetgeving formeel is aangenomen en van kracht wordt. Tot die tijd blijven de huidige regelgeving en handhavingspraktijken van toepassing. Organisaties wordt toch, zoals hierboven geschreven, aangeraden zich voor te bereiden op de aanstaande veranderingen.

Een praktisch handvat om aan de slag te gaan? Kijk dan op ferm-rotterdam.nl/nis2.

Sluit je aan bij FERM

Blijf alert. Installeer patches en let op phishing mails. Gebruik MFA. En -voor alle bedrijven in de Rotterdamse haven- sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen en vragen kunt stellen aan de vertrouwde community om je heen. Dat blijkt in de praktijk erg nuttig te zijn voor bedrijven van klein naar groot, van mkb (zonder eigen IT) tot aan de grote multinationals.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden.
Aan deelname is altijd een kosteloze proefperiode verbonden.

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht