Het feit dat Nederland de deadline niet haalt voor het omzetten van de Europese cybersecurityrichtlijn NIS2 in nationale wetgeving krijgt in de praktijk wel wat gevolgen. Een daarvan is dat de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar is, antwoordt het ministerie van Justitie en Veiligheid op vragen van AG Connect. Een ander gevolg is dat de Europese Commissie mogelijk een boete oplegt.

Op de valreep van januari is officieel naar buiten gekomen dat de Nederlandse overheid er niet in gaat slagen om de EU richtlijn voor betere cybersecurity te implementeren in wetgeving voor ons land. De voorbereidende stappen voor de consultatie over deze Nederlandse implementatie loopt uitstel op. Daardoor wordt de deadline van 17 oktober niet gehaald, heeft demissionair minister Dilan Yesilgoz Zegerius laten weten.

Zou niet moeten uitmaken

Geruchten over dat uitstel waren enkele weken eerder al ter ore gekomen van AG Connect. Navraag leverde toen echter geen bevestiging op. Enkele experts hebben wel hun licht laten schijnen op deze kwestie. Daaronder de stelling dat uitstel voor NIS2 eigenlijk voor de praktijk niet echt zou moeten uitmaken. Maar ook de constatering dat hier sprake is van een discrepantie tussen de realiteit en de papieren werkelijkheid waarin het ministerie van Justitie en Veiligheid leeft.

Het ministerie, dat regie voert over de vertaling van de EU richtlijn in Nederlandse wetgeving, is met een reactie gekomen op de vragen van AG Connect. Daarin wordt het tijdspad geschetst voor de vertraagde implementatie. Het streven is nu dat conceptwetsvoorstellen voor de zomer 2024 in consultatie worden gebracht, aldus de woordvoering.

Na verwerking van de consultatiereacties zullen de wetsvoorstellen worden voorgelegd aan de Raad van State voor advies. Het streven is dat het in het najaar van 2024 aan de Kamer wordt aangeboden voor parlementaire behandeling. Het is momenteel niet duidelijk hoe lang dat dan gaat duren. De huidige voortslepende gesprekken over een nog te formeren regering kunnen ook nog voor vertraging zorgen.

Maar maakt wel uit

Ondertussen wordt al wel duidelijk dat het uitstel voor NIS2 in de praktijk wel iets kan uitmaken. Dit ondanks de voor CISO s logische beveiligingsmaatregelen die daarin verplicht worden gesteld. Het ministerie van Justitie en Veiligheid geeft zelf aan dat de verlate implementatie als gevolg heeft dat de naleving van de nieuwe eisen nog niet wettelijk afdwingbaar zal zijn.

Deze versturen we 3-4x per jaar.