Bericht veroorzaakt onduidelijkheid voor bedrijven want Europese klanten en Europese leveranciers verwachten alle maatregelen per 17 oktober 2024.
Het Ministerie van Justitie en Veiligheid heeft via een Nota aangeven dat de uitvoering van NIS2- en de CER-richtlijnen vertraging heeft opgelopen. Nadat de aangekondigde consultatie al aan flink aantal keer is opgeschoven is er nu een Nota. Samen Digitaal Veilig redacteur Jan Meijroos betoogt dat dit voor Nederlandse bedrijven geen duidelijke boodschap is. Hun grote, Europese klanten en leveranciers verwachten namelijk wel dat alles op 17 oktober in overeenstemming met de Europese NIS2-richtlijn is geregeld.
In de Nota van Ministerie van Justitie en Veiligheid staat onder meer het volgende te lezen:
‘Het traject richting de consultatie van de conceptwetsvoorstellen bevindt zich ineen afrondende fase. Desondanks wordt nu al vastgesteld dat de wetgeving niet op tijd gereed zal zijn om aan de door de Europese Commissie gestelde implementatiedeadline (17 oktober 2024) te voldoen. De complexe inhoud en de veelheid aan juridisch een beleidsmatige keuzes […] vragen meer tijd dan initieel verwacht.’ Het streven van de Nederlandse overheid is om de implementatie in ieder geval eind 2024 rond te hebben.
Nederland is geen eiland in Europa
Wie als NIS2 bedrijf of toeleverancier van een NIS2 bedrijf na het bericht van het Ministerie denkt dat hij achterover kan leunen, heeft het mis. Andere Europese landen gaan namelijk gewoon door en houden zich wel aan de deadline. Duitsland loopt op schema en is de grootste handelspartner van Nederland.
Werk je bijvoorbeeld als toeleverancier voor grote, Duitse klanten dan zal je op de deadline 17 oktober 2024 je cybersecurity op orde moeten hebben. Meerdere bekende grote Duitse bedrijven hebben hun Nederlandse leveranciers inmiddels gesommeerd om voor 17 oktober een NIS2 certificaat te overleggen of anders gaan ze elders inkopen. Een duidelijke boodschap. Wij hebben direct geïnformeerd bij partijen in Duitsland en België of die ook datum-issues hebben. Dat blijkt niet zo te zijn. Kortom; Onze twee grootse handelspartners lopen op schema.
In Duitsland is er al een conceptwetsvoorstel gepresenteerd door het Bundesinnenministerium voor de implementatie van de NIS2 richtlijn. De Duitsers lopen ver op ons voor. Het Belgische Centre For Cybersecurity Belgium kondigde vorige week aan dat de Belgische consultatie in december succesvol is afgerond met 300 ingezonden commentaren. Daarnaast ligt men op schema ligt voor implementatie op 17 oktober, meldt men.
Begin zo snel mogelijk met voorbereidingen op NIS2
Het ministerie roept dan ook op om toch direct te beginnen. En terecht. Dit kleine uitstel (met circa 2 maanden tot eind 2024) is verre van afstel en je moet de maatregelen toch in gang gaan zetten. De krapte op de arbeidsmarkt qua cybersecurityspecialisten is bovendien enorm. Nu beginnen heeft als voordeel dat je nog goed geholpen gaat worden. In de chaos die meestal 6 maanden voor implementatie begint, is dat helemaal niet meer vanzelfsprekend. En als laatste: cybercriminelen gaan 24/7 door en iedere dag langer kwetsbaar voor aanvallen is een dag te veel. Hackers trekken zich niets aan van ministeries, landsgrenzen en wetten.
Kortom; het devies blijft ongewijzigd: begin snel met de voorbereidingen op de NIS2 richtlijn mocht je als bedrijf nog niet begonnen zijn want Europa wacht ook niet. Dat geldt zowel voor de NIS2 bedrijven (door de overheid als essentiële en grote, belangrijke bedrijven aangemerkt), als voor toeleveranciers met NIS2 bedrijven als grote klanten.
Jan Meijroos is als onafhankelijk redacteur verbonden aan Samen Digitaal Veilig en expert op het gebied van cybersecurity
