In oktober werd de NIS2-richtlijn voor cybersecurity van kracht in Europa. Deze richtlijn moest gelijktijdig door de Europese landen in hun eigen wetgeving geïmplementeerd zijn. Nederland haalde dat niet en streefde naar medio 2025. Nu is echter bekend gemaakt dat de komst van de Cyberbeveiligingswet nog verder uitgesteld wordt.
Cyberbeveiligingswet gepland voor 2026
Nederland had afgelopen oktober de NIS2-richtlijn al in de eigen wetgeving geïmplementeerd moeten hebben. Dat lukte niet, maar daarin stond Nederland niet alleen.
België en Kroatië waren als enige klaar op 17 oktober. In de praktijk blijkt de omzetting van de NIS2-richtlijn naar nationale wetgeving een omvangrijk en complex traject.
In februari 2025 bracht de Raad van State advies uit over het voorstel voor de Cyberbeveiligingswet; de Nederlandse implementatie van de NIS2.
Onlangs is het wetsvoorstel voor de Cyberbeveiligingswet bij de Tweede Kamer ingediend.
Deze moeten nu door de Tweede Kamer behandeld worden en vervolgens worden aangenomen. Daarna is het de beurt aan de Eerste Kamer, waarna de wet uiteindelijk gepubliceerd wordt en in werking treedt. Het huidige streven is om de wet in het tweede kwartaal van 2026 in werking te laten treden.
Met de huidige parlementaire onrust is het echter de vraag of deze nieuwe planning gehaald zal worden.
Wat betekent dit voor organisaties?
Tot de inwerkingtreding van de Cyberbeveiligingswet gelden er nog geen directe verplichtingen voor organisaties vanuit de NIS2-richtlijn.
Dat betekent echter niet dat u er niet nu al mee te maken krijgt.
Zoals gezegd heeft belangrijke handelspartner België de NIS2 al wel geïmplementeerd in de wetgeving en ook andere landen werken hier hard aan.
Als u zakendoet met Europese organisaties is het dus zaak om goed in de gaten te houden wanneer zij moeten voldoen aan de NIS2-richtlijn. Een belangrijk aspect van de NIS2-richtlijn is namelijk dat niet alleen de organisatie zelf, maar ook diens partners en leveranciers moeten voldoen aan bepaalde verplichtingen uit de regelgeving.
Intussen roept de Rijksoverheid organisaties in Nederland op om zich voor te bereiden op de inwerkingtreding van de Cyberbeveiligingswet. De risico’s die organisaties lopen, doen zich nu al voor. Daarnaast kost de implementatie van een NIS2-compliant systeem gemiddeld 6 tot 9 maanden.
Goed om te weten!
Organisaties hebben in sommige gevallen nu al bepaalde rechten die voortvloeien uit de NIS2-richtlijn en rechtstreeks werken. Het gaat bijvoorbeeld om het ontvangen van bijstand bij een incident door het Computer Security Incident Response Team (CSIRT).
Welke verplichtingen legt de Cyberbeveiligingswet op?
De NIS2-richtlijn bevat minimumvereisten, waarbij iedere lidstaat vrij is om op onderdelen een hoger niveau van cyberbeveiliging vast te stellen.
Nederland heeft aangegeven dit te willen doen, maar ook in de Cyberbeveiligingswet worden niet al die strengere eisen geregeld. Voor veel onderwerpen (bijvoorbeeld voor de zorgplicht uit de NIS2-richtlijn) geeft de Cyberbeveiligingswet aan dat dit nader zal worden geregeld in Algemene Maatregelen van Bestuur (‘AMvB’) of ministeriële regelingen.
We kunnen dus nu alleen uitgaan van de minimumvereisten, zoals die in de NIS2-richtlijn staan vermeld. Daarop kunt u zich nu al concreet voorbereiden.
Zorgplicht
De NIS2-richtlijn verplicht organisaties om een risicobeoordeling op het gebied van cybersecurity uit te voeren. Op basis hiervan moet een organisatie passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, om incidenten te voorkomen en de gevolgen van incidenten te beperken.
Bestuur
De leden van het bestuur van entiteiten die onder de Cyberbeveiligingswet (NIS2) vallen, moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Bestuursleden dienen daartoe een opleiding te volgen.
Registratieplicht
Organisaties die onder de NIS2-richtlijn vallen, zijn verplicht zich te registreren in het entiteitenregister vanaf het moment dat de Cyberbeveiligingswet in werking treedt. Registreren kan nu al op vrijwillige basis bij het Nationaal Cyber Security Centrum. Hier kunnen organisaties een online checklist NIS2-registratie doorlopen en zichzelf registreren en aanmelden als NIS2-entiteit.
Meldplicht
De meldplicht houdt in dat organisaties melding moeten maken bij de bevoegde autoriteit als ze getroffen zijn door een incident dat aanzienlijke gevolgen heeft voor hun dienstverlening. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren.
In Nederland moeten deze incidenten onverwijld, en indien niet mogelijk, binnen 24 uur gemeld worden bij het Computer Security Incident Response Team en de toezichthouder. Een incidentmelding maken is nu al mogelijk bij het Nationaal Cyber Security Centrum.
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.