Gevolgen niet tijdig omzetten NIS2- en CER-richtlijn naar nationale wetgeving
Het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke) vraagt meer tijd dan verwacht. Dit komt doordat het een omvangrijk en complex traject is dat zorgvuldigheid vereist. Nederland haalt het dan ook niet om voor de deadline van 17 oktober 2024 deze richtlijnen om te zetten naar nationale wetgeving. De Tweede Kamer is eerder dit jaar geïnformeerd over de stand van zaken met betrekking tot de implementatie NIS2- en CER-richtlijnen. De verwachting is dat beide wetten in het derde kwartaal van 2025 van kracht worden.
Periode tussen 17 oktober 2024 en datum van inwerkingtreding van de Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten
Wat precies de gevolgen zijn van het niet tijdig omzetten van de NIS2- en CER-richtlijn naar nationale wetgeving in de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de twee bovengenoemde wetten, is beschreven in de Kamerbrief Gevolgen niet tijdige implementatie NIS2- en CER-richtlijn. Hieronder staan de belangrijkste gevolgen van de niet tijdige implementatie van de richtlijnen vermeld:
CER-richtlijn
De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Organisaties zullen pas onder die wet vallen zodra ze zijn aangewezen als ‘kritieke entiteit’. Voor deze organisaties zullen de zorgplicht en de meldplicht uit deze wet pas van toepassing zijn vanaf 10 maanden na hun aanwijzing als kritieke entiteit.
In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn. Deze verplichtingen gelden pas voor organisaties wanneer de Wet weerbaarheid kritieke entiteiten in werking treedt én de organisatie wordt aangewezen als kritieke entiteit.
NIS2-richtlijn
De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. Deze wet zal gelden voor essentiële en belangrijke entiteiten. Tijdens de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet hebben de entiteiten die van rechtswege onder de NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT), dit vanwege rechtstreekse werking van sommige bepalingen in de richtlijn. Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.
Verplichtingen en rechten in de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet
Voor organisaties die nu onder de Wbni vallen, blijven de huidige rechten en verplichtingen op grond van de Wbni gelden totdat de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel niet onder de Wbni vallen, maar wel onder de Cyberbeveiligingswet gaan vallen, zijn er in de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet geen verplichtingen vanuit de NIS2-richtlijn. Er kan op dat laatste dus ook niet gehandhaafd worden door een toezichthouder.
Essentiële en belangrijke entiteiten die van rechtswege onder de NIS2-richtlijn vallen, hebben, vanwege rechtstreekse werking van sommige bepalingen in die richtlijn over de taken van een CSIRT, bepaalde rechten vanuit de NIS2-richtlijn. Dat geldt in enkele gevallen ook voor andere belanghebbende partijen. In Nederland zullen deze CSIRT-taken in deze periode worden uitgevoerd door het Nationaal Cyber Security Centrum (NCSC) en het CSIRT voor digitale diensten (CSIRT-DSP). Voor de zorgsector zal het expertisecentrum voor cybersecurity Z-CERT deze taak op zich nemen. Het CSIRT kan indien nodig op basis van een risicogebaseerde benadering, prioriteit geven aan bepaalde taken.
Het gaat hierbij om de volgende diensten en activiteiten:
Het op verzoek verlenen van bijstand aan essentiële en belangrijke entiteiten met betrekking tot het realtime of bijna-realtime monitoren van hun netwerk en informatiesystemen door een CSIRT.
Het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen en het verspreiden van informatie onder essentiële en belangrijke entiteiten en nadere relevante belanghebbenden over cyberdreigingen, kwetsbaarheden en incidenten door een CSIRT.
Het reageren op incidenten en verlenen van bijstand aan essentiële en belangrijke entiteiten door een CSIRT.
Het op verzoek van een essentiële of belangrijke entiteit door een CSIRT proactief scannen van de netwerk- en informatiesystemen van die entiteit om kwetsbaarheden met mogelijk significante gevolgen op te sporen.
Het verwerken van vrijwillige meldingen door een essentiële of belangrijke entiteit van cyberdreigingen of bijna-incidenten, of door een andere entiteit van een significant incident, cyberdreiging of bijna-incident, door een CSIRT.
Registratie in de periode tot inwerkingtreding van de wet
Essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, kunnen zich vanaf 17 oktober 2024 op vrijwillige basis registreren bij het NCSC. Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingsdienst verplicht. Om ervoor te zorgen dat entiteiten de informatie voor de registratie laagdrempelig kunnen aanleveren en beheren, heeft het kabinet ervoor gekozen om een centrale registratiefunctionaliteit in te richten bij het NCSC. In dit registratieportaal is het ook mogelijk incidenten vrijwillig te melden. Registeren kan op mijn.ncsc.nl. Lees hier wat je nodig hebt om het registratieproces te doorlopen.
Vragen en antwoorden
De Wbni zal pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht, voor zover zij niet in strijd is met de NIS2-richtlijn.
De NIS2-richtlijn kent een bepaalde systematiek waarbij entiteiten van rechtswege onder de richtlijn vallen en daarnaast bepaalde entiteiten pas onder de werking van de richtlijn vallen nadat zij door een lidstaat in het wetgevingsproces zijn aangewezen op basis van criteria in de richtlijn. Deze systematiek is gevolgd in de Cyberbeveiligingswet. Voor entiteiten die van rechtswege onder de wet vallen is de volgende tool ontwikkeld: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/. Deze tool kan behulpzaam zijn voor het vaststellen of een partij al dan niet van rechtswege onder de Cyberbeveiligingswet valt.
Voor een entiteit die nu al onder de Wbni valt, blijven de in die wet geregelde verplichtingen gelden totdat deze wet wordt ingetrokken. Voor een entiteit die niet onder de Wbni valt, maar straks wel onder de Cyberbeveiligingswet, zijn er tot het moment van inwerkingtreding van de Cyberbeveiligingswet nog geen verplichtingen. De verplichtingen uit de Cyberbeveiligingswet evenals het toezicht daarop zullen ingaan op het moment van inwerkingtreding van de Cyberbeveiligingswet. Wel wordt entiteiten aangeraden om zich alvast voor te bereiden op de komst van de Cyberbeveiligingswet. Entiteiten kunnen de volgende tool gebruiken om zich voor te bereiden: https:/regelhulpenvoorbedrijven.nl/NIS2-Quickscan/. Ook hebben het NCSC en DTC diverse kennis- en adviesproducten ontwikkeld die organisaties handvatten bieden ter voorbereiding op de Cyberbeveiligingswet.
Voor entiteiten die behoren tot de sectoren digitale infrastructuur, beheer van ICT-diensten en digitale aanbieders worden op dit moment onder regie van de Europese Commissie uitvoeringshandelingen opgesteld over de zorgplicht en meldplicht. Deze zullen naar verwachting dit najaar in werking treden. Hierop kan echter nog geen toezicht worden gehouden en geen handhaving plaatsvinden zolang de Cyberbeveiligingswet nog niet in werking is getreden.
Entiteiten die onder de Wbni vallen behouden hun rechten, zoals de bijstand van het CSIRT, totdat de Cyberbeveiligingswet in werking treedt. De NIS2-richtlijn kent een soortgelijk recht op onder meer bijstand door een CSIRT. Entiteiten die onder de NIS2-richtlijn vallen, kunnen na 17 oktober 2024 een beroep doen op deze bijstand door een CSIRT. De bijstand bestaat in ieder geval uit het ondersteunen van de entiteit op het moment dat er sprake is van een dreiging of incident in een netwerk- en informatiesysteem. Het kan zijn dat entiteiten zowel onder de Wbni als van rechtswege onder de NIS2-richtlijn vallen. Die entiteiten kunnen vanaf 17 oktober 2024 op grond van zowel de Wbni als de NIS2-richtlijn een beroep doen op bijstand door een CSIRT. Mochten er veel entiteiten tegelijkertijd om bijstand vragen, dan zal er prioritering plaatsvinden door het CSIRT op basis van een risicoafweging.
Entiteiten die van rechtswege onder de NIS2-richtlijn vallen, hebben pas een zorg- en meldplicht als bedoeld in die richtlijn op het moment dat de Cyberbeveiligingswet in werking treedt en zij onder de jurisdictie van Nederland vallen. Nederlandse toezichthouders zullen dus ook niet, voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet, toezien op de naleving van deze verplichtingen.
Voor onderstaande entiteiten kan bijvoorbeeld de hoofdvestiging van een entiteit relevant zijn voor de vraag onder de jurisdictie van welke lidstaat die entiteit valt (zie artikel 26 NIS2-richtlijn):
DNS-dienstverleners, verleners van domeinregistratiediensten, cloud computing service providers, data centre service providers, content delivery network providers, aanbieders van vertrouwensdienstverleners.
Managed service providers, managed security service providers
Aanbieders van online marktplaatsen, online zoekmachines en sociale media platforms
Deze entiteiten kunnen daarom wel al eerder te maken krijgen met regelgeving van een andere lidstaat.
De NIS2-richtlijn schrijft in artikel 3, derde lid, voor dat lidstaten een lijst dienen op te stellen van essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Om onder andere aan deze verplichting te kunnen voldoen zijn deze entiteiten vanaf de inwerkingtreding van de Cyberbeveiligingswet verplicht om bepaalde gegevens te delen en actueel te houden, zoals hun contactgegevens en de sector(en) waarin zij actief zijn. Met het oog daarop wordt een centraal registratiefunctionaliteit ontwikkeld. Vanaf 17 oktober is voor entiteiten die van rechtswege onder de NIS2-richtlijn vallen mogelijk zich, vooruitlopend op de inwerkingtreding van de Cyberbeveiligingswet, vrijwillig te registreren. Benadrukt wordt dat de verplichting tot registratie voor entiteiten pas ontstaat op het moment dat de Cyberbeveiligingswet in werking treedt. Registeren kan op mijn.ncsc.nl. Lees hier wat je nodig hebt om het registratieproces te doorlopen.
