Op donderdag 17 oktober 2024 is de nieuwe Europese netwerk- en informatiebeveiliging richtlijn (NIS2-richtlijn) in werking getreden. Deze Europese richtlijn wordt door de europese lidstaten zelf geïmplementeerd in nationale wetgeving. De verwachting is dat de nationale wetten, de Cyberbeveiligingswet (Cbw/NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke/CER) in Nederland echter pas in het derde kwartaal van 2025 in werking treden. Wat betekent deze periode tussen een actieve richtlijn en gebrek aan wet voor jouw organisatie?
Wel rechten, geen plichten
Tot de wetten in werking zijn getreden, de datum van 1 juli 2025 wordt veel genoemd, maar is nog niet bevestigd, hoeven organisaties zich NIET aan de verplichtingen uit de richtlijn te houden. Wel hebben organisaties in bepaalde gevallen bepaalde rechten voortvloeiend uit de richtlijnen.
Wet weerbaarheid kritieke entiteiten (Wwke/CER)
De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Organisaties zullen pas onder die wet vallen zodra ze zijn aangewezen als ‘kritieke entiteit’. Voor deze organisaties zullen de zorgplicht en de meldplicht uit deze wet pas van toepassing zijn vanaf 10 maanden na hun aanwijzing als kritieke entiteit. In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn. Deze verplichtingen gelden pas voor organisaties wanneer de Wet weerbaarheid kritieke entiteiten in werking treedt én de organisatie wordt aangewezen als kritieke entiteit.
Cyberbeveiligingswet (Cbw/NIS2)
De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. Deze wet zal gelden voor essentiële en belangrijke entiteiten. Tijdens de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet hebben de entiteiten die van rechtswege onder de NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT), dit vanwege rechtstreekse werking van sommige bepalingen in de richtlijn. Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.
Registreren bij NCSC
Essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, kunnen zich vanaf 17 oktober 2024 op vrijwillige basis registreren bij het Nationaal Cyber Security Centrum (NCSC). Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingswet verplicht. Om ervoor te zorgen dat entiteiten de informatie voor de registratie laagdrempelig kunnen aanleveren en beheren, heeft het kabinet ervoor gekozen om een centrale registratiefunctionaliteit in te richten bij het NCSC.
Werk aan digitale weerbaarheid
Hoewel de nationale wet dus nog niet van kracht is, raadt het NCSC aan altijd te werken aan de digitale weerbaarheid van de organisatie. De dreiging blijft immers onverminderd groot. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de Cyberbeveiligingswet. Bovendien is bovenstaande alleen van toepassing indien jouw bedrijfsactiviteiten beperkt blijven tot alleen Nederland. Indien je de (Europese) grens over gaat, is het van belang om de status van de nationale wetten ter plekke in de gaten te houden en te controleren of je daaronder valt indien deze al actief zijn.
Claranet Benelux ondersteunt jouw organisatie
De NIS2-richtlijn, en de opvolgende Cyberbeveiligingswet, stelt strengere eisen aan Cyber Security en risicomanagement. Claranet Benelux helpt organisaties proactief om aan deze nieuwe normen te voldoen. Wij bieden end-to-end ondersteuning, van een grondige gap-analyse tot de implementatie van effectieve beveiligingsmaatregelen.
Onze experts begeleiden jou bij het opstellen of actualiseren van een informatiebeveiligingsbeleid en het trainen van medewerkers in security-awareness. Daarnaast voeren wij technische risicoanalyses uit en bieden we compleet beheerde Cyber Security diensten.
Met onze diepgaande kennis van cybersecurity en compliance zorgt Claranet dat jouw organisatie niet alleen voldoet aan de NIS2, maar ook beschermd blijft tegen toekomstige bedreigingen. Zo kan je je blijven richten op jouw kernactiviteiten, terwijl wij zorgen voor een robuuste beveiliging.