Nederlandse overheid loopt achter op deadline voor securitywet NIS2

De Nederlandse overheid staat voor een uitdaging nu de deadline voor de implementatie van NIS2 niet wordt gehaald. In een brief aan de Tweede Kamer meldt demissionair minister Dilan Yeşilgöz-Zegerius dat de voorbereidingen voor de consultatie over de Nederlandse implementatie van deze Europese cybersecurityrichtlijn vertraging hebben opgelopen.

Met de inwerkingtreding van NIS2 worden ook gemeenten aangewezen als ‘essentiële entiteit’ en worden zij geconfronteerd met strenge eisen op het gebied van cybersecurity, waaronder een zorgplicht, toezicht en meldplicht voor passende maatregelen.

Yeşilgöz-Zegerius erkent dat het omzetten van de richtlijnen in nationale wetgeving meer tijd vergt dan verwacht. De conceptwetsvoorstellen worden naar verwachting voor de zomer van 2024 in consultatie gebracht. Echter, gezien de benodigde vervolgstappen in het wetgevingstraject, zal de implementatiedeadline van 17 oktober 2024 niet worden gehaald.

Deskundigen benadrukken dat het missen van de deadline niet betekent dat de verplichtingen van NIS2 niet van kracht worden. Bedrijven blijven aansprakelijk voor naleving van de cybersecurityvereisten. Brenno de Winter waarschuwt dat hoewel het ingrijpen door toezichthouders kan worden uitgesteld, de lat niet lager wordt gelegd. De druk op organisaties om aan de eisen te voldoen, blijft hoog.

Dave Maasland, CEO van securityleverancier ESET, onderstreept dat uitstel van de consultatie geen excuus is voor bedrijven om niet aan de slag te gaan met hun cybersecurityvoorbereidingen. Hij benadrukt dat een risicogebaseerde aanpak essentieel blijft en dat de voorbereidingen van bedrijven niet in de weg moeten worden gezeten door het uitstel.

Het is duidelijk dat cybersecurity een toenemende urgentie heeft op zowel nationaal als internationaal niveau, gezien de geopolitieke spanningen en de erkenning van cybercriminaliteit en -onzekerheid als grote problemen door het World Economic Forum (WEF).