Bedrijven die werken met de IT systemen van de overheid, kunnen enkele stappen doorlopen om in te schatten wat de gevolgen zijn van het feit dat de overheid de deadline voor de implementatie van NIS2, de Europese cybersecurityrichtlijn, niet gaat halen. Dat zeggen experts Security Consultant Mick Zandvliet en Data Privacy Consultant Thom Vroegindeweij.

Demissionair minister Dilan Yesilgoz Zegerius bevestigde eerder deze week dat de Nederlandse overheid niet op tijd zal voldoen aan de eisen van de cybersecurity richtlijn van de Europese Unie, de NIS2. Dat schrijft de website voor de IT sector www.AGconnect.com. Dit zou gevolgen kunnen hebben voor bedrijven die aangesloten zijn op de netwerken van de overheid en de controlerende registeraccountants. Reden voor Accountantweek om enkele vragen te stellen aan Security Consultant Mick Zandvliet en Data Privacy Consultant Thom Vroegindeweij van internationaal cyberveiligheidsadviseur en cyberbeveiliger Northwave.

1. Accountantweek: Wat zijn volgens Northwave de belangrijkste redenen dat het de overheid niet lukt om NIS2 tijdig te implementeren? 
Northwave: De Europese Commissie heeft voor het omzetten van de NIS2 richtlijn naar nationale wetgeving, een implementatiedeadline gesteld op 17 oktober 2024. Het is voor ons geen verrassing dat er uit een brief aan de Tweede Kamer blijkt dat deze deadline door de Nederlandse overheid niet gehaald wordt. Verschillende aangekondigde stappen om tot het wetsvoorstel te komen waren al vertraagd, waaronder een consultatie die oorspronkelijk in de zomer van 2023 aangeboden zou worden en nu voor de zomer van 2024 verwacht wordt. De reden van deze vertraging is niet met zekerheid te zeggen, andere Europese landen lopen namelijk wel op schema, wellicht heeft het te maken met de demissionaire status van het kabinet. De overheid geeft met de vertraging een signaal af dat er andere prioriteiten in de politiek blijken te zijn op dit moment. Dit signaal helpt niet voor de noodzakelijke urgentie die nodig is om de cyberweerbaarheid binnen Nederland en in Europa te verhogen.

2.Accountanweek:  Waarom hebben overheid en bedrijven moeite om aan NIS2 te voldoen?
Northwave: Wij zien dat het bedrijfsleven in het algemeen te maken krijgt met een toenemende druk aan wet en regelgeving die elkaar kunnen overlappen, denk daarbij aan NIS2, DORA, CRA, de AI Act en zo voorts. De huidige Europese NIS2 richtlijn geeft daarbij duidelijke kaders mee waar organisaties en overheid aan moeten voldoen en waarmee ze zich kunnen voorbereiden op de komst van nationale wetgeving. Wat NIS2 betreft, bestaat bij organisaties vooral onzekerheid over:

• Het bepalen of een organisatie in de scope valt van de NIS2 of juist daarbuiten
• Onduidelijkheid over het antwoord op de vraag of buitenlandse vestigingen al te maken hebben met lokale wetgeving
• De cyberveiligheid bij andere, buitenlandse, belanghebbenden in de keten
• Dat er nog geen toezichthouder is aangesteld waardoor slechts beperkt informatie beschikbaar is melding van incidenten en de uitvoering van actief toezicht
• En als gevolg van dit alles de prioritering van het onderwerp NIS2 binnen de organisatie.

Deze versturen we 3-4x per jaar.