Na het verwerken van de uitkomsten van consultatie is de Cyberbeveiligingswet (Cbw) een stap dichterbij. Deze wet is de Nederlandse implementatie van de Europese NIS2-richtlijn. Uit de reacties blijken nog wel twijfels.
Zo haalde het Interprovinciaal Overleg (IPO) (pdf) in een reactie aan dat de uitvoerbaarheid van de Cbw nog onbekend is. Het maant de overheid aan om niet een te hoge regeldruk uit te oefenen op organisaties. Wegens de onbekende aard van de Cbw, dat pas in het derde kwartaal van 2025 van kracht lijkt te gaan, moest het IPO verschillende impactscenario’s opstellen. Eén van de belangrijkste aandachtspunten vanuit het IPO is de financiële impact op provincies en andere medeoverheden. Die mening deelde de Vereniging van Nederlandse Gemeenten (VNG) (pdf).
Te onduidelijk
Ook de Autoriteit Persoonsgegevens was kritisch over het voorgaande concept van wat nu de Cyberbeveiligingswet gaat heten. Wederom was de aantijging dat de verwerking van NIS2 eerst nog te onduidelijk en niet nauwkeurig genoeg was.
In het eerste kwartaal van 2025 zal de Cbw worden aangeboden aan de Tweede Kamer. Mocht de Kamer vóór het voorstel stemmen, dan volgt vanzelfsprekend de Eerste Kamer en bij goedkeuring een datum voor de werkelijke implementatie. Aangezien de NIS2-omzetting nu al te laat is om de deadline te hebben gehaald (17 oktober 2024), is het vooral belangrijk dat er eindelijk duidelijkheid ontstaat over de concrete invulling in Nederland.
In België is NIS2 overigens al sinds 18 oktober van dit jaar in werking getreden, evenals in verschillende andere Europese lidstaten. Recent spraken we met Filip Verloy, Field CTO EMEA & APJ Rx bij Rubrik. Hij stipte aan dat veel organisaties zich dus al wettelijk moeten houden aan NIS2. “Terughoudendheid kan erin sluipen” voor Nederlandse bedrijven nu de datum nog op zich laat wachten, merkt Verloy op, maar dat is niet terecht. Niet alleen omdat NIS2 al geldt in sommige EU-landen, maar ook omdat een significant cyber-incident simpelweg voor grote schade kan zorgen, zij het financieel of reputationeel.
Lees ook: NIS2-uitstel is geen reden tot treuzelen