De Nederlandse implementatiewet voor NIS2 (Cyberbeveiligingswet) is nog niet klaar, en de eerste wijzigingen op NIS2 zijn al voorgesteld. Wat verandert er in de voorstellen van de Europese Commissie?
De Europese Comissie heeft eind Januari een voorstel voor een nieuw Cybersecurity package uitgebracht. De Nederlandse implementatiewet voor NIS2 (Cyberbeveiligingswet) is nog niet klaar, en de eerste wijzigingen op NIS2 zijn al voorgesteld. Met een aantal goede redenen overigens, gezien de ontwikkelingen op cybersecurity, digitale weerbaarheid, geopolitiek en ook de wens van de EU om de regeldruk te verlagen.
Hoe zat het ook al weer
NIS2 is een richtlijn (directive). Richtlijnen moeten in elke EU lidstaat met een lokale wet worden geïmplementeerd. In Nederland is dit de Cyberbeveiligingswet (cbw). EU lidstaten moesten eigenlijk in oktober 2024 hun implementatiewet al hebben ingevoerd. Steeds meer landen hebben de implementatie al gereed (zoals Belgie, Duitsland, Italie en Denemarken). Nederland heeft de wet een aantal keer uitgesteld en de meest recente verwachting is Q2 2026. De voorgestelde wijzigingen in NIS2 zullen de implementatiedatum van de cbw mogelijk nog verder doen opschuiven.
Belangrijkste wijzigingen
Wat zijn de belangrijkste wijzigingen voor NIS2?
Geopolitieke invloed:
De ontwikkelingen op het geopolitieke vlak zijn te merken in de wijzigingsvoorstellen:
Entiteiten welke eigenaar zijn, of beheer voeren van 'Strategic dual-use' infrastructure' komen onder NIS2 te vallen. Dit gaat om civiele infrastructuur, die in tijden van oorlog ook militair gebruikt wordt voor het vervoer van materieel, goederen en militair personeel;
Alle soorten beheer van sub-marine data transmission infrastructure zullen onder NIS2 vallen;
Leveranciers van Europese Digital Identity Wallets en Business Wallets komen in scope van NIS2 ongeacht hun omvang (als essentiele entiteiten). Dit vanwege de mogelijk grote impact in geval van incidenten;
EU lidstaten moeten de transitie naar post quantum cryptography opnemen in hun nationale cybersecurity strategie.
Aanpassing van scope en definitities
De grens om als essentiele entitieit te worden aangemerkt wordt opgerekt door de introductie van een nieuwe categorie small mid-cap. Hierdoor zullen minder organisaties essentieel worden. Deze regel heeft vooral effect op het actieve toezicht door de toezichthouders (de vereisten aan de zorgplicht en meldplicht veranderen hierdoor niet);
De grenswaarde van middelgroot geldt nu ook voor DNS providers (voorheen vielen ook kleine DNS providers automatisch onder NIS2);
Aanpassing en verduidelijking van de de (sub)sectoren in scope:
De ondergrens voor elektriciteitproducenten is 1MW capaciteit;
Distributie van chemie is verwijderd. Chemie bedrijven zijn in scope in geval zij chemische stoffen moeten melden (onder EU regeling 1907/2006);
Een aantal zorgaanbieders wordt uitgesloten: zorgaanbieders welke niet aan de EU regeling 2011/24 (rechten van patiënten bij grensoverschrijdende gezondheidszorg) hoeven te voldoen: langdurige zorg ter ondersteuning van dagelijkse routinetaken, toewijzing van en toegang tot organen tbv transplantatie en publieke vaccinatieprogramma's).
Europese implementatiestandaarden
Naast de implementatiestandaard voor de IT Sector welke al door ENISA is opgesteld, kan de Europese Comissie ook voor andere entiteiten en sectoren implementatiestandaarden (implementation acts) opleggen. In het voorstel is opgenomen dat lidstaten vervolgens geen aanvullende maatregelen meer mogen opleggen voor die sectoren
Overige aanpassingen
Organisaties welke onder NIS2 vallen kunnen certificaten halen waarvoor ECCF (EU Cybersecurity Certification Framework) de certificatieschema's opstelt. Onlangs is er door een aantal landen flinke kritiek geuit op ECCF. In de afgelopen zes jaar is slechts één certificatie schema opgeleverd. Dit zou nu binnen 12 maanden moeten gebeuren;
Betere support voor organisaties welke in meerdere lidstaten actief zijn en onder toezicht staan;
Er moeten guidelines voor supply chain security ontwikkeld worden, zodat een standaard niveau en diepgang bereikt wordt. Het NIS2 Supply Chain certificaat is hiervoor een goede oplossing;
De Europese Commissie beveelt aan om geen ransom te betalen... dit blijft vrij vaag: In het kader van het International Counter Ransomware Initiative, ondersteunt de Europese Unie een niet bindend internationaal beleid om geen ransom te betalen'...
IT bedrijven hoeven geen aparte registratie meer te doen bij ENISA (De nationale entiteit stuurt dit voortaan door).
Nieuwsbrief
Ontvang 1 x per maand een korte update over digitale weerbaarheid.
.png)