Nederland voert NIS2-richtlijn naar verwachting derde kwartaal 2025 in
Nederland zal de Europese beveiligingsrichtlijn NIS2 naar verwachting in het derde kwartaal van 2025 invoeren. Daarmee wordt de door de EU gestelde deadline met een jaar gemist. De richtlijn had uiterlijk vandaag naar nationale wetgeving moeten zijn omgezet. Zolang de richtlijn niet is ingevoerd gelden er geen verplichtingen voor organisaties die hieronder vallen.
"Zoals eerder gecommuniceerd, komt de vertraging doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is. De impact voor Nederlandse organisaties is aanzienlijk en er zijn ten opzichte van bestaande wetgeving meer sectoren en meer organisaties die moeten voldoen aan de nieuwe wetgeving", stelt minister Van Weel van Justitie en Veiligheid.
De NIS2-richtlijn is een herziening van de richtlijn inzake netwerk- en informatiebeveiliging uit 2016 en wil meer duidelijkheid scheppen en de implementatie verbeteren en inspelen op de ontwikkelingen in dit gebied. De richtlijn dekt meer sectoren en activiteiten dan voorheen, stroomlijnt de rapporteringsverplichtingen en pakt de beveiliging van de toeleveringsketen aan. Zo moeten meer entiteiten en sectoren maatregelen nemen om zich tegen cyberaanvallen te beschermen. Het gaat dan om sectoren als energie, vervoer, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur en ruimtevaart.
Ook wordt een kader vastgesteld voor betere samenwerking en informatie-uitwisseling tussen verschillende autoriteiten en lidstaten en wordt er een “Europese kwetsbaarheidsdatabase” opgezet. Verder legt de wet EU-landen strengere verplichtingen op, op het gebied van toezicht voor cyberbeveiliging. De wet werd eind 2022 aangenomen, waarna EU-lidstaten 21 maanden de tijd hebben om de richtlijn om te zetten in nationale wetgeving.
"Voor alle essentiële en belangrijke entiteiten gaan die verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Er kan dus ook niet op de naleving hiervan toezicht worden gehouden door de Nederlandse toezichthouder", aldus Van Weel over de gevolgen van het nog niet invoeren van de richtlijn. "Dit geldt eveneens voor verplichtingen die voortvloeien uit de Europese uitvoeringsverordening die nadere invulling geeft aan de plichten uit de NIS2-richtlijn."
De Critical Entities Resilience (CER) richtlijn, die zich richt op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van misdrijven, sabotage en natuurrampen, zal naar verwachting ook in het derde kwartaal van 2025 in werking treden. De minister verwacht dat de twee wetsvoorstellen voor het invoeren van beide richtlijnen eind dit jaar naar de Raad van State gaan en afhankelijk van het advies in het eerste kwartaal van volgend jaar naar de Tweede Kamer. "Het streven is dat beide wetten in het derde kwartaal van 2025 in werking treden."
Overheid en IT blijft een drama.
Volgens Tweakers is de verdeling van de 27 lidstaten als volgt:
1x geïmplementeerd
1x deels geïmplementeerd
25x nog niet geïmplementeerd
Bron: https://tweakers.net/nieuws/227724/belgie-en-kroatie-halen-als-enige-de-nis2-deadline-nederland-loopt-achter.html
"Voor alle essentiële en belangrijke entiteiten gaan die verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Er kan dus ook niet op de naleving hiervan toezicht worden gehouden door de Nederlandse toezichthouder", aldus Van Weel over de gevolgen van het nog niet invoeren van de richtlijn.
Dit is pertinent onjuist zoals de Minister stelt. Bedrijven en organisaties die activiteiten ontplooien in een ander lidstaat waar de NIS2 al wel actief is, zullen moeten voldoen aan de richtlijn. Zij kunnen niet wegkomen met een mededeling dat er geen nationale wetgeving aanwezig is.
De politiek zit hier ernstig te slapen en behoort de Minister hierover het vuur aan de schenen te leggen in de debatten. Men zal moeten eisen dat er versneld en met grote spoed de wetgeving in Nederland wordt aangenomen en dat er van verdere vertraging geen enkele sprake zou mogen zijn.
Daarnaast zal men vanuit de politiek hierover de bedrijven en organisaties beter moeten adviseren en begeleiden in deze richtlijn.
https://eur-lex.europa.eu/legal-content/en/NIM/?uri=CELEX%3A32022L2555
Alleen België en Kroatie volgens Tweakers.net
https://tweakers.net/nieuws/227724/belgie-en-kroatie-halen-als-enige-de-nis2-deadline-nederland-loopt-achter.html
Waarbij Kroatie zelfs maar deels.
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_en
"Voor alle essentiële en belangrijke entiteiten gaan die verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Er kan dus ook niet op de naleving hiervan toezicht worden gehouden door de Nederlandse toezichthouder", aldus Van Weel over de gevolgen van het nog niet invoeren van de richtlijn.
Dit is pertinent onjuist zoals de Minister stelt. Bedrijven en organisaties die activiteiten ontplooien in een ander lidstaat waar de NIS2 al wel actief is, zullen moeten voldoen aan de richtlijn. Zij kunnen niet wegkomen met een mededeling dat er geen nationale wetgeving aanwezig is.
De politiek zit hier ernstig te slapen en behoort de Minister hierover het vuur aan de schenen te leggen in de debatten. Men zal moeten eisen dat er versneld en met grote spoed de wetgeving in Nederland wordt aangenomen en dat er van verdere vertraging geen enkele sprake zou mogen zijn.
Daarnaast zal men vanuit de politiek hierover de bedrijven en organisaties beter moeten adviseren en begeleiden in deze richtlijn.
Weet je dat zeker? Volgens mij is de locatie van de entiteit bepalend voor de wetgeving waaronder deze valt. Onafhankelijk of de diensten worden verricht in de rest van de Europese Unie.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (ISO)
Dienst Justitiële Inrichtingen
Ben jij een tech-liefhebber met een passie voor informatiebeveiliging? Wil je jouw expertise inzetten om de veiligheid te waar-borgen binnen een dynamische omgeving? Dan is de rol van Informatiebeveiligings-functionaris bij Justitieel Complex Zaanstad wellicht jouw volgende avontuur! In deze rol ben jij de sleutel tot het creëren en handhaven van een veilige werkomgeving, waarbij onze organisatie optimaal blijft draaien.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.