3min Security

NIS2-richtlijn wordt eindelijk wet via Cbw en Wwke

NIS2-richtlijn wordt eindelijk wet via Cbw en Wwke

Op 14 december 2022 presenteerden de Europese Commissie en het Europees Parlement de definitieve NIS2-richtlijn. Destijds leek de deadline voor een vertaling naar nationale wetgeving pittig, maar haalbaar: 17 oktober 2024. Nu, bijna twee jaar na die oorspronkelijke deadline, is de werkelijke implementatiedatum van de Cyberbeveiligingswet (Cbw) en Wet weerbaarheid kritieke entiteiten (Wwke) bekend. Op 15 augustus 2026 gaan ze eindelijk in.

Gisteren was de Eerste Kamer akkoord met beide wetten. Ruim 8.000 organisaties moeten hun cyberweerbaarheid vanaf dat moment officieel veel beter in orde hebben dan voorheen met de wet afdwingbaar was. Zo is NCSC-registratie verplicht, moeten ‘significante’ incidenten formeel gemeld worden en zijn bestuurders verantwoordelijk voor cyberrisicomanagement.

Geen verrassing

Zoals onze reeks aan rondetafelgesprekken door de jaren heen heeft laten zien: je kunt niet gauw uitgepraat zijn over de NIS2-richtlijn. Eigenlijk was het al ruim vóór de presentatie van deze richtlijn eind 2022 zo dat veel Cbw- en Wwke-verplichtingen eerder al golden als informele best practices. Voerde je geen volwassen risicobeheer of had je geen of een tekortkomende backup, dan kon een incident al funest zijn. Dat verandert niet; de consequenties voor het niet naleven van de nieuwe wetten wel. Daarvoor geldt nu dat eenieder die zich niet echt interesseerde in het onderwerp cybersecurity of het dacht uit te kunnen besteden, nu overstag moet.

Het moet niet als een verrassing komen. De wetten waren ook al in april door de Tweede Kamer heen, dus ze waren al aanstaande. Hoewel enige coulance bij de eerste controles van organisaties wellicht praktisch zal gelden, zijn boetes op den duur zeker te verwachten. België, dat wél de NIS2-vertaling voor de deadline van oktober 2024 klaar had, hanteerde tevens een beleid met zachte hand toen de eigen NIS2/NISTU-wetgeving had aangenomen.

Beluister ook onze recente Techzine Talks-aflevering met Edwin Weijdema, Field CTO EMEA bij Veeam, over de nieuwe wetgeving (tekst gaat verder onder blok):

Harde eisen, maar niet zo specifiek

De cyberwetten hebben zoals gezegd naar schatting van de Rijksoverheid een impact op ruim 8.000 organisaties. Gezien het feit dat er ruim 2,4 miljoen bedrijven in Nederland zijn, klinkt de dekking vrij beperkt. Wie echter denkt dat de gevolgen van de Cbw en Wwke klen zijn, moet niet te veel naar dat kleinere getal kijken.

Een item dat wél de NIS2-deadline een dagje voor was, was de zelfevaluatie voor organisaties. De overheid linkt nog altijd naar deze assistentie, iets dat andermaal laat zien hoe weinig wezenlijk verschil er is tussen de NIS2-richtlijn en de Nederlandse vertaling ervan naar de eigen wetgeving.

Nederland heeft specifiek voor twee wetten gekozen die cybersecurity (Cbw) en de fysieke weerbaarheid van kritieke organisaties (Wwke) onderscheidt. Of dat nu het uitstel goedpraat, is maar sterk de vraag. Eigenlijk is de urgentie om cyberveilig te zijn, niet veranderd sinds 2022. De reikwijdte van aanvallers is groter dan ooit en de gevolgen van een incident zijn potentieel catastrofaal. De NIS2-richtlijn was opgeroepen om die boodschap uit te zenden, en dat blijft nu het geval, ook al is er nu een wettelijke stok achter de deur gezet.