NIS2-implementatie uitgesteld

De Cyberbeveiligingswet – de Nederlandse implementatie van de Europese NIS2-richtlijn – is uitgesteld. Het streven was om de wet in het derde kwartaal van 2025 in werking te laten treden, maar dit bleek niet haalbaar.

‘Dit komt doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is, waarbij grote zorgvuldigheid is vereist’, schrijft demissionair minister Van Weel (Justitie en Veiligheid) in een brief aan de Tweede Kamer. Hij hoopt dat de wet in het tweede kwartaal van 2026 in werking treedt.

Wat betekent dit?

Het doel van NIS2 (Network and Information Security Directive 2) is om de digitale weerbaarheid van Europese lidstaten te versterken. Hierbij is de reikwijdte van NIS2 ten opzichte van de oorspronkelijke NIS-richtlijn uitgebreid, waardoor meer sectoren en organisaties onder de NIS2-verplichting* komen te vallen. Uitstel naar 2026 betekent dat organisaties zich extra goed kunnen voorbereiden. In het licht van de recente geopolitieke ontwikkelingen is het raadzaam om hier niet mee te wachten. En los daarvan: zeer geregeld wordt er via de landelijke media bericht over – ernstige – verstoringen van (publieke) diensten, als gevolg van cybercriminaliteit.

* Zie de website van de Rijksoverheid voor een zelfevaluatie: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

NIS2 in het kort – wat vraagt NIS ook alweer?

De richtlijn richt zich op risico’s voor netwerk- en informatiesystemen die worden gebruikt voor het leveren van diensten. In Nederland wordt deze richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet. Zodra deze wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Organisaties die onder de Cyberbeveiligingswet vallen, krijgen te maken met

• Een Registratieplicht
• Een Zorgplicht
• Een Meldplicht
• En Toezicht

Registratieplicht: Organisaties die onder de NIS2-richtlijn vallen, zijn wettelijk verplicht zich te registreren in het entiteitenregister via een online voorziening van het Nationaal Cyber Security Centrum (NCSC). Doordat alle EU-lidstaten een register moeten bijhouden, ontstaat er een Europees overzicht van geregistreerde entiteiten.

Zorgplicht: De Cyberbeveiligingswet verplicht organisaties om een risicoanalyse uit te voeren en op basis daarvan passende beveiligingsmaatregelen te nemen voor hun netwerk- en informatiesystemen. Bestuurders van de organisaties moeten deze maatregelen goedkeuren, toezicht houden op de uitvoering en dienen een opleiding te volgen om hun rol effectief te kunnen vervullen.

Meldplicht: Onder de NIS2-richtlijn zijn organisaties verplicht om significante incidenten binnen 24 uur te melden bij het CSIRT (Computer Security Incident Response Team) en de toezichthouder via een gefaseerde meldplicht. Het gaat om incidenten die de dienstverlening ernstig kunnen verstoren of grote financiële of operationele schade veroorzaken, ook bij derden.

Toezicht: Op organisaties die onder de Cyberbeveiligingswet vallen, wordt toezicht gehouden op de naleving van verplichtingen zoals de zorg- en meldplicht, waarbij sancties in ernstige gevallen niet alleen de organisatie maar ook individuele bestuurders kunnen treffen.

Hoe nu verder?

Een Information Security Management System gebaseerd op ISO 27001:2022 of gelijkwaardig biedt een goede basis om te voldoen aan bovenstaande zorgplicht. Vervolgens kunnen aanvullende eisen worden geïmplementeerd om te voldoen aan NIS2. Doordat de Cyberbeveiligingswet met een half jaar is uitgesteld, hebben organisaties extra tijd om deze aanvullende eisen in kaart te brengen en hier invulling aan te geven.

Als het huidige informatiebeveiligingssysteem nog niet voldoet aan het niveau van ISO 27001:2022 of een gelijkwaardig normenkader, is het zaak zo snel mogelijk een gap-analyse uit te voeren, zodat tijdig met de benodigde acties kan worden begonnen.

Meer weten of advies hoe je de NIS2 invulling kunt geven? Neem gerust contact met ons op voor een vrijblijvend adviesgesprek.