De Europese NIS2-richtlijn, bedoeld om de digitale weerbaarheid van lidstaten te versterken, zou op 17 oktober 2024 zijn omgezet in nationale wetgeving. Nederland heeft deze deadline echter niet gehaald. De implementatie, via de Cyberbeveiligingswet (Cbw), is vertraagd en wordt nu verwacht in het tweede kwartaal van 2026.
Wat is NIS2?
NIS2 (Network and Information Security Directive 2) is een herziening van de oorspronkelijke NIS-richtlijn uit 2016. De richtlijn beoogt een hoger niveau van cybersecurity in de EU door strengere beveiligingsnormen en meldingsvereisten voor incidenten op te leggen aan een bredere groep sectoren.
Nederlandse implementatie: de Cyberbeveiligingswet
In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw), die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen. De Cbw introduceert onder andere een zorgplicht, meldplicht en registratieplicht voor organisaties die als essentieel of belangrijk worden aangemerkt.
Vertraging in de implementatie
Hoewel de NIS2-richtlijn op 17 oktober 2024 in werking trad, heeft Nederland de deadline voor omzetting naar nationale wetgeving niet gehaald. De complexiteit van het traject, inclusief interdepartementale afstemming en consultaties, heeft geleid tot vertraging. De verwachting is nu dat de Cbw in het tweede kwartaal van 2026 in werking treedt.
Cyberbeveiligingsbesluit en sectorale regelingen
Het concept Cyberbeveiligingsbesluit, dat de Cbw verder uitwerkt, ligt momenteel ter behandeling bij de Tweede Kamer.Dit besluit bevat nadere invulling van de zorgplicht en sectorspecifieke regelingen. Ministeries zoals Binnenlandse Zaken en Volksgezondheid bouwen voort op bestaande normenkaders zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN7510.
Huidige situatie voor organisaties
Totdat de Cbw van kracht wordt, zijn organisaties nog niet verplicht om aan de nieuwe eisen te voldoen. Echter, bepaalde bepalingen van de NIS2-richtlijn hebben directe werking, zoals het recht op bijstand bij cyberincidenten door een Computer Security Incident Response Team (CSIRT).
Voorbereiding en bewustwording
Ondanks de vertraging roept de overheid organisaties op om zich alvast voor te bereiden op de komende wetgeving. Het Nationaal Cyber Security Centrum (NCSC) biedt informatie en tools om organisaties te helpen bij hun voorbereiding.Toch blijkt uit onderzoek dat slechts 26% van de decentrale overheden een implementatieplan heeft voor NIS2, en bijna een op de vijf nog moet beginnen met voorbereidingen.
Lemontree is er alvast klaar voor… jij ook?
De implementatie van de NIS2-richtlijn in Nederland verloopt met vertraging, maar de noodzaak voor versterkte cyberbeveiliging blijft onverminderd groot. Organisaties doen er verstandig aan om proactief maatregelen te nemen en zich voor te bereiden op de aankomende verplichtingen onder de Cyberbeveiligingswet. Lemontree is al klaar voor de komst van NIS2 in Nederland. Met onze ISAE3402 type II verklaring zijn onze processen aantoonbaar en bewezen kwalitatief in orde. Een belangrijke graadmeter voor partijen die hun IT (deels) willen uitbesteden.
