“Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht”, schrijft demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius in een brief aan de Tweede Kamer waarin ze deze een update geeft over de implementatie van NIS2.
De EU lanceerde de NIS2-richtlijn formeel op 16 januari 2023. Lidstaten kregen vanaf die datum tot 17 oktober 2024 de tijd om er wetgeving voor te maken. Voor de Nederlandse overheid is deze periode naar nu al blijkt niet lang genoeg. Dat blijkt uit een brief die minister Yeşilgöz-Zegerius vandaag naar de kamer stuurde.
In deze brief schrijft de minister zwart op wit het volgende: “Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeer ik dat de implementatiedeadline van de Europese Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald.” In deze passage heeft ze het over meerdere richtlijnen. Naast NIS2 moet ook de iets minder bekende Critical Entities Resilience (CER)-richtlijn, die zich richt op fysieke beveiliging, op die datum in een wet gegoten zijn. Dat gaat dus ook niet op tijd gebeuren.
Wetsvoorstel in najaar naar de kamer
Minister Yeşilgöz-Zegerius geeft in de brief ook een tijdspad van hoe het traject van deze wetgeving eruit zal zien. De conceptwetsvoorstellen (voor NIS2 en CER) zullen voor de zomer in consultatie worden gebracht. Na verwerking van de reacties uit deze stap gaan de voorstellen naar de Raad van State voor advies. Daarna zullen de wetsvoorstellen aangeboden worden aan de Tweede Kamer. Deze laatste stap vindt pas plaats in het najaar. Dat zou dus nog na de implementatiedeadline kunnen zijn. Wanneer de wetgeving er daadwerkelijk zal zijn, hangt af van hoe soepel de wet door de beide kamers heen komt.
Er is dus duidelijk sprake van een serieuze vertraging. De reden hiervoor geeft de minister niet. Behalve dan de al eerder aangehaalde passage: “Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht.” Op basis hiervan is onze voorlopige conclusie dat de overheid deze richtlijn en de impact ervan onderschat heeft. Dat is niet zo fraai, zeker niet omdat dezelfde overheid toch ook betrokken moet zijn geweest bij het opstellen en door de EU krijgen van de NIS2- en CER-richtlijnen. Dat bedrijven en organisaties er wellicht wat onwetend over zijn, kunnen we ons nog wel enigszins voorstellen. Maar bij de overheid zou dit niet mogen gebeuren.
Hoe nu verder?
Wat de reden ook is voor het niet halen van de deadline, we zullen het ermee moeten doen. De vraag is nu hoe het verder moet. Uiteraard benadrukt minister Yeşilgöz-Zegerius in de brief dat “de voorbereidingen van de implementatiewetten samen met de vakdepartementen met onverminderde inspanning worden voortgezet”. Dat is niet bepaald geruststellend, want die inspanningen waren tot nu toe kennelijk niet zo enorm groot. De val van regering, de verkiezingen en al het gedoe eromheen zullen wellicht niet geholpen hebben, maar dat mag geen excuus zijn. We mogen althans hopen dat alle beleidsmedewerkers wel gewoon doorwerken tijdens de demissionaire periode.
Voor organisaties en bedrijven zal 17 oktober 2024 wel gewoon rood omcirkeld in de agenda moeten blijven staan. Die moeten op die datum namelijk nog altijd compliant zijn met NIS2 en CER. Aangezien er op die datum geen Nederlandse wetgeving is, zal de richtlijn zelf bindend worden in ons land. Dat is voor zover wij weten de gangbare procedure. Voor de Nederlandse staat zal er ongetwijfeld een boete komen of iets dergelijks.
Organisaties hoeven en moeten uiteraard niet zolang treuzelen als onze eigen overheid. Op basis van de NIS2-richtlijn kunnen deze al behoorlijk wat voorbereidingen treffen. Zeker nu we weten dat deze richtlijn in eerste instantie leidend zal zijn op 17 oktober 2024. Mocht je daar hulp bij willen hebben, dan zijn er voldoende partijen in de markt die daarbij kunnen helpen. We schreven recent nog over het Nederlandse bedrijf Secior, dat een NIS2-tool heeft. Daarmee moet het mogelijk zijn om de cyberweerbaarheid van een organisatie door te lichten.
Luister ook de aflevering van onze Techzine Talks podcastserie over NIS2:
23 uur geleden
