DTC: Gevolgen niet-tijdig omzetten NIS2-richtlijn naar nationale wetgeving
Het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) vraagt meer tijd dan verwacht. Dit komt doordat het een omvangrijk en complex traject is dat zorgvuldigheid vereist. Nederland haalt het dan ook niet om voor de deadline van 17 oktober 2024 deze richtlijn om te zetten naar nationale wetgeving. Dit meldt het Digital Trust Center (DTC).
De Tweede Kamer is eerder dit jaar geïnformeerd over de stand van zaken met betrekking tot de implementatie NIS2-richtlijn.
Wat precies de gevolgen zijn van het niet-tijdig omzetten van de NIS2-richtlijn naar nationale wetgeving in de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet, is beschreven in de Kamerbrief van 16 oktober. De verwachting is dat de Cyberbeveiligingswet in het derde kwartaal van 2025 in werking treedt.
Rechten en verplichtingen
Gedurende de periode van 17 oktober 2024 tot de datum van inwerkingtreding van de implementatiewet gelden voor organisaties die onder de richtlijn vallen, nog geen daaruit voortvloeiende verplichtingen. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer Security Incident Response Team (CSIRT).
De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. Deze wet zal gelden voor essentiële en belangrijke entiteiten. In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet hebben de entiteiten die van rechtswege onder de NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT), dit vanwege rechtstreekse werking van sommige bepalingen in de richtlijn.
Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas in zodra de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.
Bekijk de Kamerbrief voor meer informatie over de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet. Op de website van NCTV staat meer informatie over de verschillende verplichtingen en rechten.
Wacht niet af, ga aan de slag
De Rijksoverheid roept organisaties uitdrukkelijk op om alvast aan de slag te gaan en niet te wachten tot de Cyberbeveiligingswet in werking is getreden. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. En het kost tijd en aandacht om maatregelen te nemen die voortkomen uit de zorgplicht. Kijk op het NIS2-startpunt voor een meer informatie, handvatten en maatregelen die je organisatie nu al kan nemen ter voorbereiding op de aankomende wetgeving. Daar kan je ook meer informatie vinden over de sectoren en criteria die bepalen of jouw organisatie onder de NIS2-richtlijn valt.