Skip to main content

NIS2 wordt bureaucratisch monster, vrezen Duitsers

Het omzetten van de EU-richtlijn NIS2 in nationale wetgeving loopt vrijwel nergens in Europa van een leien dakje. Terwijl Nederland met de vertaling van deze richtlijn in de Cyberbeveiligingswet (Cbw) zeker 1,5 jaar achterloopt, heeft het nieuwe Duitse wetsontwerp bij onze oosterburen een golf van kritiek uitgelokt.

Voice, de grootste Duitse belangenorganisatie van it-gebruikers, zucht onder de bureaucratische lasten die de implementatie van NIS2 met zich mee brengt. Volgens deze Duitse federatie worden de kosten onderschat, zijn de controlemechanismen te zwak en blijft onduidelijk wie waarvoor verantwoordelijk is. Dit geldt met name voor de controle, de aansprakelijkheid en implementatie.

Volgens de belangenorganisatie worden de in het wetsvoorstel genoemde extra kosten van gemiddeld 76.000 euro per bedrijf per jaar aanzienlijk onderschat. Dat geraamde bedrag ligt overigens nog een stuk boven de schattingen in Nederland.

Dezelfde aansprakelijkheid

Voice pleit voor praktische vereisten en een duidelijke verantwoordelijkheidsverdeling tussen overheid en bedrijfsleven. Voor beiden zouden dezelfde aansprakelijkheidsregels moeten komen. Private managers zijn nu persoonlijk aansprakelijk voor tekortkomingen in de cybersecurity, zoals een gebrek aan training. De directeuren van federale agentschappen worden echter niet beschouwd als ‘management’ volgens het NIS2-concept. Ze zijn daarom vrijgesteld van deze verplichting.

Voor het mkb moeten er Implementeerbare eisen en ‘best practices’ komen. De huidige eis van proportionele maatregelen is te vaag. Onduidelijk blijft met welke specifieke compliancekosten mkb’ers daadwerkelijk te maken krijgen. Om onzekerheid te voorkomen, meent Voice dat snelle verduidelijking door middel van best practices geboden is.

Ook dringt de organisatie aan op realistische overgangsperiodes, bijvoorbeeld voor productcertificeringen en technische wijzigingen. Dan kunnen bedrijven de NIS2-vereisten beter implementeren.

Geen consistente monitoring

Regelmatige audits zijn nodig voor duurzame implementatie. De ervaring leert dat wettelijke vereisten vaak niet blijvend worden geïmplementeerd zonder consistente monitoring.

Verder lezen bij de bron
IB&P

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De nieuwe Archiefwet: waarom informatiebeveiliging hierbij moet aanhaken
Op 1 januari 2027 treedt de nieuwe Archiefwet in werking. Op het eerste gezicht lijkt dat vooral een onderwerp voor informatiebeheer, DIV, de gemeentearchivaris of juridische zaken. Toch raakt de nieuwe wet ook duidelijk aan informatiebeveiliging.
Waarom BIO2 vooral om eigenaarschap in de lijn vraagt
BIO2 maakt informatiebeveiliging nadrukkelijk onderdeel van goed management: proceseigenaren moeten risico’s kennen, keuzes maken en opvolging organiseren. Daarmee verschuift de focus van losse maatregelen naar aantoonbaar eigenaarschap, samenwerking en risicogestuurde sturing binnen de gemeentelijke praktijk.
Jouw leverancier, jouw risico: Waarom ketenrisico’s geen IT-probleem zijn
Veel gemeenten vertrouwen op leveranciers, maar blijven zelf verantwoordelijk voor de risico’s in de keten. In deze blog lees je waarom ketenrisico’s actief bestuurd moeten worden en hoe je als organisatie grip krijgt op leveranciers, contracten en continuïteit.

Meer recente berichten

Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen
Verder lezen
Evaluatie datalek gemeente Epe
Verder lezen
Waarom informatiebeveiliging nooit af is
Verder lezen
De Cloud Act en digitale soe­ve­rei­ni­teit ontrafelt
Verder lezen
AI zet decennia cybersecurity op zijn kop
Verder lezen
Privacyklachten stijgen explosief – en de overheid staat in de top 3
Verder lezen
Maatregelen nodig voor automatisering Van Brienenoordbrug
Verder lezen
AP stelt procesbeschrijving voor verscherpt toezicht vast
Verder lezen
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is
Verder lezen
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek
Verder lezen