De cyberbeveiligingswet en de NIS2 in Nederland

Nederland heeft het niet gehaald om de Europese NIS2 richtlijn op tijd in te voeren. De deadline van 17 oktober 2024 is niet gehaald. In de kamerbrief van minister Van Weel van 16 oktober 2024 is het nieuwe traject voorgesteld. Het streven is nu dat de NIS2 wordt geïmplementeerd in de Nederlandse Cyberbeveiligingswet in het derde kwartaal van 2025. De NIS2 wetgeving geldt voor essentiële en belangrijke entiteiten.

De Europese CER-richtlijn voor kritieke entiteiten die in de Nederlandse Wet weerbaarheid kritieke entiteiten wordt geïmplementeerd, is eveneens uitgesteld tot het derde kwartaal van 2025. Wel zal het Computer Incident Response Team (CSIRT) nu al bijstand geven bij cyberincidenten. Het CSIRT wordt ingevuld door het NCSC, voor digitale dienstverleners door het CSIRT-DSP en voor de zorgsector door Z-CERT. In de periode totdat de wetten in werking treden gaan de verplichtingen van deze wetten pas in vanaf het tijdstip dat de wetten in werking treden. Tot die tijd blijft de huidige Wbni van kracht.

Vanaf 17 oktober 2024 kunnen de organisaties die onder deze regelgeving gaan vallen zich al wel registreren bij het NCSC en daarmee op de hoogte worden gehouden van cyberdreigingen. Ook al is er nog een jaar geen wettelijke verplichting, het is van groot belang om toch aan de slag te gaan met het verhogen van de cyberweerbaarheid en niet te wachten tot de CBW en WWKE in werking zijn getreden. De cyberrisico’s bestaan nu ook al. Het is zaak om voorafgaand aan de in werking treding van deze wetten al minstens de volgende zaken op orde te hebben: