Op 17 oktober 2024 trad de Europese NIS2-richtlijn in werking. De 27 lidstaten moeten de richtlijn omzetten in nationale wetgeving. De invoering van de Nederlandse variant van de NIS2-richtlijn is uitgesteld. Toch kunnen bedrijven er al mee aan de slag.
“In ons land krijgt de wet de naam Cyberbeveiligingswet, die daarmee de concrete uitwerking wordt van NIS2,” legt Efrym Willems, Account Manager bij Claranet Benelux uit. In een aantal Europese landen ging hun nationale variant op de NIS2-richtlijn keurig op 17 oktober van start, maar Nederland haalde die deadline niet. Willems: “Verwacht wordt dat de Cyberbeveiligingswet op 1 juli 2025 in werking treedt.”
Wel rechten, nog geen plichten
De Cyberbeveiligingswet is gericht op essentiële en belangrijke entiteiten. Nog voordat de wet van kracht is, genieten organisaties die onder de richtlijn vallen, zoals MSP’s, al bepaalde rechten. “Denk daarbij aan bijstand van een Computer Security Incident Response Team bij cyberincidenten,” geeft Willems aan. “De verplichtingen, zoals het implementeren van strengere beveiligings- en risicomanagementmaatregelen, zijn pas van kracht na invoering van de Cyberbeveiligingswet.”
Vrijwillige registratie
Sinds 17 oktober 2024 kunnen essentiële en belangrijke entiteiten zich vrijwillig registreren bij het Nationaal Cyber Security Centrum (NCSC), zegt Willems. “Registratie wordt echter verplicht zodra de Cyberbeveiligingswet van kracht is.”
Ondanks het ontbreken van verplichtingen benadrukt Willems dat organisaties moeten blijven werken aan hun digitale weerbaarheid. De cyberdreiging blijft immers onverminderd groot. Willems: “Door nu actie te ondernemen, beschermen organisaties zich tegen huidige risico’s én zijn zij beter voorbereid op de komst van de wet.” Voor organisaties die internationaal opereren, is het bovendien van belang de status van vergelijkbare wetten in andere Europese landen te monitoren. “Wie zaken doet met bijvoorbeeld België, moet rekening houden met de bij hun al ingevoerde regelgeving.”
Ondersteuning door Claranet Benelux
“De Cyberbeveilingswet stelt strenge eisen aan Cyber Security en risicomanagement,” weet Willems. “Wij kunnen organisaties daarbij ondersteunen, onder meer door GAP- en technische risicoanalyses, het opstellen en actualiseren van informatiebeveiligingsbeleid, trainingen en het leveren van beheerde cybersecurity-diensten.”
Het verschil tussen CER en NIS2
Naast de NIS2 richtlijn komt ook de Critical Entities Resilience Directive (CER-richtlijn) op bedrijven af. Deze richtlijn richt zich op de bescherming van organisaties tegen fysieke dreigingen, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. De NIS2-richtlijn richt zich juist op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.
Dit artikel verscheen eerder in Channel Connect – januari 2025