Het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke) vraagt meer tijd dan verwacht. Dit komt doordat het een omvangrijk en complex traject is dat zorgvuldigheid vereist. Het is Nederland dan ook niet gelukt om voor de deadline van 17 oktober 2024 deze richtlijnen om te zetten naar nationale wetgeving. De Tweede Kamer was hierover eerder dit jaar al geïnformeerd.
Wat precies de gevolgen zijn van het niet tijdig omzetten van de NIS2- en CER-richtlijn naar nationale wetgeving in de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de twee bovengenoemde wetten, is beschreven in de Kamerbrief gevolgen niet tijdige implementatie NIS2- en CER-richtlijn. De verwachting is dat beide wetten in het derde kwartaal van 2025 in werking treden.
> LEES OOK: Zo bereiden bedrijven zich alvast voor op de nieuwe cyberwet
Rechten en verplichtingen
Gedurende de periode van 17 oktober 2024 tot de datum van inwerkingtreding van de twee bovengenoemde implementatiewetten gelden voor organisaties die onder de richtlijnen vallen, nog geen daaruit voortvloeiende verplichtingen. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer Security Incident Response Team (CSIRT).
> LEES OOK: NIS2: 17 oktober niet gehaald, wanneer dan wel?
CER-richtlijn
De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Gedurende de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn. Deze verplichtingen gelden pas voor organisaties wanneer de Wet weerbaarheid kritieke entiteiten in werking treedt en een organisatie wordt aangewezen als kritieke entiteit. Na deze aanwijzing heeft een kritieke entiteit 10 maanden de tijd om bijvoorbeeld te voldoen aan de zorgplicht en de meldplicht uit deze wet.
NIS2-richtlijn
De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. Deze wet zal gelden voor essentiële en belangrijke entiteiten. In de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet hebben de entiteiten die van rechtswege onder de NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT). Dit vanwege rechtstreekse werking van sommige bepalingen in de richtlijn. Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas in zodra de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.
> LEES OOK: Organisaties weten vaak niet waar ze een cyberincident moeten melden
Wacht niet af, ga aan de slag
De Rijksoverheid roept organisaties uitdrukkelijk op om alvast aan de slag te gaan en niet te wachten tot de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in werking zijn getreden. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Bekijk meer informatie over de wijze waarop organisaties zich kunnen voorbereiden op de komst van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.
Bron: NCTV
Volg Security Management op LinkedIn