Gevolgen niet tijdig omzetten NIS2- en CER-richtlijn naar nationale wetgeving

Voor organisaties die nu onder de Wbni vallen, blijven de huidige rechten en verplichtingen op grond van de Wbni gelden totdat de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel niet onder de Wbni vallen, maar wel onder de Cyberbeveiligingswet gaan vallen, zijn er in de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet geen verplichtingen vanuit de NIS2-richtlijn. Er kan op dat laatste dus ook niet gehandhaafd worden door een toezichthouder.

Essentiële en belangrijke entiteiten die van rechtswege onder de NIS2-richtlijn vallen, hebben, vanwege rechtstreekse werking van sommige bepalingen in die richtlijn over de taken van een CSIRT, bepaalde rechten vanuit de NIS2-richtlijn. Dat geldt in enkele gevallen ook voor andere belanghebbende partijen. In Nederland zullen deze CSIRT-taken in deze periode worden uitgevoerd door het Nationaal Cyber Security Centrum (NCSC) en het CSIRT voor digitale diensten (CSIRT-DSP). Voor de zorgsector zal het expertisecentrum voor cybersecurity Z-CERT deze taak op zich nemen. Het CSIRT kan indien nodig op basis van een risicogebaseerde benadering, prioriteit geven aan bepaalde taken.

Het gaat hierbij om de volgende diensten en activiteiten:

• Het op verzoek verlenen van bijstand aan essentiële en belangrijke entiteiten met betrekking tot het realtime of bijna-realtime monitoren van hun netwerk en informatiesystemen door een CSIRT.
• Het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen en het verspreiden van informatie onder essentiële en belangrijke entiteiten en nadere relevante belanghebbenden over cyberdreigingen, kwetsbaarheden en incidenten door een CSIRT.
• Het reageren op incidenten en verlenen van bijstand aan essentiële en belangrijke  entiteiten door een CSIRT.
• Het op verzoek van een essentiële of belangrijke entiteit door een CSIRT proactief scannen van de netwerk- en informatiesystemen van die entiteit om kwetsbaarheden met mogelijk significante gevolgen op te sporen.
• Het verwerken van vrijwillige meldingen door een essentiële of belangrijke entiteit van cyberdreigingen of bijna-incidenten, of door een andere entiteit van een significant incident, cyberdreiging of bijna-incident, door een CSIRT.

Lees meer hierover in de Kamerbrief Gevolgen niet tijdige implementatie NIS2- en CER-richtlijn en bijgevoegd juridisch factsheet.

De Wbni zal pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht, voor zover zij niet in strijd is met de NIS2-richtlijn.

De NIS2-richtlijn kent een bepaalde systematiek waarbij entiteiten van rechtswege onder de richtlijn vallen en daarnaast bepaalde entiteiten pas onder de werking van de richtlijn vallen nadat zij door een lidstaat in het wetgevingsproces zijn aangewezen op basis van criteria in de richtlijn. Deze systematiek is gevolgd in de Cyberbeveiligingswet. Voor entiteiten die van rechtswege onder de wet vallen is de volgende tool ontwikkeld: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/. Deze tool kan behulpzaam zijn voor het vaststellen of een partij al dan niet van rechtswege onder de Cyberbeveiligingswet valt.

Voor een entiteit die nu al onder de Wbni valt, blijven de in die wet geregelde verplichtingen gelden totdat deze wet wordt ingetrokken. Voor een entiteit die niet onder de Wbni valt, maar straks wel onder de Cyberbeveiligingswet, zijn er tot het moment van inwerkingtreding van de Cyberbeveiligingswet nog geen verplichtingen. De verplichtingen uit de Cyberbeveiligingswet evenals het toezicht daarop zullen ingaan op het moment van inwerkingtreding van de Cyberbeveiligingswet. Wel wordt entiteiten aangeraden om zich alvast voor te bereiden op de komst van de Cyberbeveiligingswet. Entiteiten kunnen de volgende tool gebruiken om zich voor te bereiden: https:/regelhulpenvoorbedrijven.nl/NIS2-Quickscan/. Ook hebben het NCSC en DTC diverse kennis- en adviesproducten ontwikkeld die organisaties handvatten bieden ter voorbereiding op de Cyberbeveiligingswet.

Voor entiteiten die behoren tot de sectoren digitale infrastructuur, beheer van ICT-diensten en digitale aanbieders worden op dit moment onder regie van de Europese Commissie uitvoeringshandelingen opgesteld over de zorgplicht en meldplicht. Deze zullen naar verwachting dit najaar in werking treden. Hierop kan echter nog geen toezicht worden gehouden en geen handhaving plaatsvinden zolang de Cyberbeveiligingswet nog niet in werking is getreden. 

Entiteiten die onder de Wbni vallen behouden hun rechten, zoals de bijstand van het CSIRT, totdat de Cyberbeveiligingswet in werking treedt. De NIS2-richtlijn kent een soortgelijk recht op onder meer bijstand door een CSIRT. Entiteiten die onder de NIS2-richtlijn vallen, kunnen na 17 oktober 2024 een beroep doen op deze bijstand door een CSIRT. De bijstand bestaat in ieder geval uit het ondersteunen van de entiteit op het moment dat er sprake is van een dreiging of incident in een netwerk- en informatiesysteem. Het kan zijn dat entiteiten zowel onder de Wbni als van rechtswege onder de NIS2-richtlijn vallen. Die entiteiten kunnen vanaf 17 oktober 2024 op grond van zowel de Wbni als de NIS2-richtlijn een beroep doen op bijstand door een CSIRT. Mochten er veel entiteiten tegelijkertijd om bijstand vragen, dan zal er prioritering plaatsvinden door het CSIRT op basis van een risicoafweging.

Entiteiten die van rechtswege onder de NIS2-richtlijn vallen, hebben pas een zorg- en meldplicht als bedoeld in die richtlijn op het moment dat de Cyberbeveiligingswet in werking treedt en zij onder de jurisdictie van Nederland vallen. Nederlandse toezichthouders zullen dus ook niet, voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet, toezien op de naleving van deze verplichtingen.

Voor onderstaande entiteiten kan bijvoorbeeld de hoofdvestiging van een entiteit relevant zijn voor de vraag onder de jurisdictie van welke lidstaat die entiteit valt (zie artikel 26 NIS2-richtlijn):  

• DNS-dienstverleners, verleners van domeinregistratiediensten, cloud computing service providers, data centre service providers, content delivery network providers, aanbieders van vertrouwensdienstverleners.
• Managed service providers, managed security service providers
• Aanbieders van online marktplaatsen, online zoekmachines en sociale media platforms

Deze entiteiten kunnen daarom wel al eerder te maken krijgen met regelgeving van een andere lidstaat.

De NIS2-richtlijn schrijft in artikel 3, derde lid, voor dat lidstaten een lijst dienen op te stellen van essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Om onder andere aan deze verplichting te kunnen voldoen zijn deze entiteiten vanaf de inwerkingtreding van de Cyberbeveiligingswet verplicht om bepaalde gegevens te delen en actueel te houden, zoals hun contactgegevens en de sector(en) waarin zij actief zijn. Met het oog daarop wordt een centraal registratiefunctionaliteit ontwikkeld. Vanaf 17 oktober is voor entiteiten die van rechtswege onder de NIS2-richtlijn vallen mogelijk zich, vooruitlopend op de inwerkingtreding van de Cyberbeveiligingswet, vrijwillig te registreren. Benadrukt wordt dat de verplichting tot registratie voor entiteiten pas ontstaat op het moment dat de Cyberbeveiligingswet in werking treedt. Registeren kan op mijn.ncsc.nl. Lees hier wat je nodig hebt om het registratieproces te doorlopen.

De NIS1-richtlijn wordt ingetrokken met ingang van 17 oktober 2024 en vanaf deze datum is de NIS2-richtlijn van toepassing in de Europese Unie. Verwijzingen naar de NIS1-richtlijn, zoals bijvoorbeeld in de Wbni, kunnen dan ook beschouwd worden als verwijzingen naar de NIS2-richtlijn. Dit staat vermeld in artikel 44 van de NIS2-richtlijn. In Nederland zal de Wbni pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht.