Gevolgen niet-tijdige implementatie NIS2- en CER-richtlijn
Global Secure is gastspreker op de Vakbeurs Facilitair & Gebouwbeheer
3 juni 2024
Wat is DORA en hoe kan Global Secure hierbij ondersteunen?
6 december 2024
De implementatie van de NIS2- en CER-richtlijn in de Nederlandse wetgeving heeft vertraging opgelopen. Beide richtlijnen zijn essentieel voor het versterken van de cyberveiligheid en de weerbaarheid van kritieke entiteiten in Nederland. Het Ministerie van Justitie en Veiligheid heeft aangegeven dat de complexiteit en omvang van deze omzetting meer tijd vergen dan verwacht. Dit geldt overigens niet alleen voor Nederland, maar ook voor andere lidstaten. Hieronder volgen vijf belangrijke gevolgen van de vertraging:
- Geen verplichte maatregelen voor kritieke entiteiten: Totdat de Wet weerbaarheid kritieke entiteiten (CER-richtlijn) van kracht wordt, zijn er geen verplichtingen voor organisaties om zich te houden aan de nieuwe zorgplicht en meldplicht. Dit geldt tot tien maanden na hun officiële aanwijzing als kritieke entiteit.
- Risico op verzwakte cyberweerbaarheid: Hoewel de Wet Cyberbeveiliging (NIS2-richtlijn) nog niet van kracht is, kunnen bedrijven te maken krijgen met cyberdreigingen zonder de verplichting om beschermende maatregelen te nemen. Dit verhoogt het risico op succesvolle cyberaanvallen.
- Beperkte handhaving: Zolang de Cyberbeveiligingswet niet is geïmplementeerd, kan er geen toezicht worden gehouden op de naleving van de verplichtingen uit de NIS2-richtlijn. Dit betekent dat essentiële en belangrijke entiteiten nog niet onder de nieuwe regelgeving vallen.
- Verlengde overgangsperiode voor bestaande wetgeving: Organisaties die nu onder de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven onder deze wetgeving opereren totdat de Cyberbeveiligingswet in werking treedt.
- Rechtstreekse werking van bepaalde bepalingen: Ondanks de vertraging hebben sommige bepalingen uit de NIS2-richtlijn rechtstreekse werking. Dit betekent dat essentiële en belangrijke entiteiten vanaf 17 oktober 2024 recht hebben op bijstand bij cyberincidenten van het Computer Incident Response Team (CSIRT).
De overheid adviseert organisaties die onder de nieuwe richtlijnen gaan vallen, om niet te wachten met het implementeren van beveiligingsmaatregelen. Zo kan de digitale weerbaarheid van Nederland ook in deze overgangsperiode worden verbeterd.
Bron: https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2024Z16101&did=2024D39011
