Nog 10 maanden en dan is het zover. Op 17 oktober 2024 moet de nationale wetgeving van NIS2 geïmplementeerd zijn en op 18 oktober 2024 moeten organisaties die hieronder vallen maatregelen geïmplementeerd hebben. Weten wat NIS2 ook alweer inhoudt, daar schreef mijn collega, Alexander Freund, een blog over. De Nederlandse overheid heeft in 2023 verschillende keren de internetconsultatie uitgesteld. Deze staat nu voor dit eerste kwartaal gepland, maar hoe staat het er nu eigenlijk voor in andere landen om ons heen?
Tot nu toe, is Hongarije het enige land dat al nationale wetgeving heeft geïmplementeerd. Er zijn 8 landen waarvan de nationale wet nu in de consultatiefase is en zijn er samen met Nederland nog 14 andere landen die geen nationale (concept) wetgeving voor NIS2 hebben.
Hoe komt de nationale wetgeving er dan uit te zien?
De Nederlandse overheid heeft al laten weten dat zij overnemen wat er in NIS2 staat en dat zij niet van plan zijn het strenger te maken. Hoe het uiteindelijk er precies uit komt te zien is nog even afwachten, maar ik denk wel dat we een goed voorbeeld kunnen nemen aan onze zuiderburen.
Belgische nationale wetgeving voor NIS2
Over het algemeen zien we dat het wetsvoorstel van België NIS2 overneemt met hier en daar wat extra’s. Zo heeft België bijvoorbeeld een extra maatregel toegevoegd aan de zorgplicht. Belgische organisaties die aan NIS2 moeten voldoen, moeten namelijk een beleid hebben voor de gecoördineerde bekendmaking van kwetsbaarheden.
Bij de registratieplicht zien we een lichte afwijking van NIS2. Waar NIS2 vereist dat organisaties uiterlijk op 17 januari 2025 bepaalde informatie moeten indienen bij de nationale bevoegde autoriteit en wijzigingen in informatie uiterlijk binnen 3 maanden na de wijziging, hanteert België een aantal andere termijnen. Afhankelijk van wanneer de wet van kracht is zou dat kunnen betekenen dat dit niet voor 17 januari 2025 gedaan is. België hanteert namelijk een termijn van 5 maanden na inwerkingtreding van de wet of identificatie voor het registreren van alle essentiële of belangrijke entiteiten. Behalve voor bijvoorbeeld DNS-dienstverleners, aanbieders van datacentra of aanbieders van beveiligingsdiensten, zij moeten binnen 2 maanden na de inwerkingtreding van de wet de informatie verstrekken aan de bevoegde autoriteit. Wijzigingen moeten binnen 2 weken gemeld worden door alle entiteiten.
Daarnaast zien we ook dat er bij de meldplicht een toevoeging is op de procedure. Zo moet er in België op verzoek van het nationale CSIRT of van de eventuele sectorale overheid, een tussentijdsverslag over relevante updates van de situatie opgeleverd worden, wanneer een entiteit nog geen eindverslag kan indienen omdat het incident nog gaande is.
Voor de governance geeft de nationale wetgeving aan dat bestuursorganen verantwoordelijk zijn voor het goedkeuren van maatregelen voor het beheer op cyberbeveiligingsrisico’s, toezien op de uitvoering ervan en aansprakelijk zijn voor inbreuken, maar hoe deze aansprakelijkheid eruitziet wordt niet expliciet genoemd. Verder moeten leden van een bestuursorgaan een opleiding volgen zodat ze over voldoende kennis en vaardigheden beschikken om risico’s te kunnen identificeren, risicobeheer praktijken en de gevolgen daarvan voor de diensten kunnen beoordelen.
Wat weten we nu al van de Nederlandse wetgeving?
De overheid heeft aangegeven dat NIS2 opgenomen wordt in een aangepaste versie van de Wbni en dat daarin ook de BIO2.0 verankerd gaat worden als informatiebeveiligingsstandaard voor overheidsorganen. Er zijn nog niet veel details bekend over de opleiding die bestuurders moeten gaan volgen, maar er is eerder wel aangegeven dat deze in ieder geval de basisbeginselen van informatiebeveiliging, welke dreigingen er zijn en waarom informatiebeveiliging belangrijk is moet bevatten.
Organisaties ga aan de slag!
Ondanks dat de nationale wetgeving nog niet bekend is en daarmee nog niet alle details, hoef en moet je niet stil zitten. Als op 17 oktober 2024 de nationale wet geïmplementeerd is betekent dit dat 18 oktober 2024 jouw organisatie moet voldoen aan de eisen uit de nationale wetgeving van NIS2.
Weet je niet of jouw organisatie moet voldoen aan NIS2? Vraag dan advies aan een expert. Moet je eraan voldoen, maar weet je nog niet waar je staat. Er is een grote kans dat wanneer je gecertificeerd bent voor bijvoorbeeld de ISO27001 of de NEN7510 dat je al veel van de maatregelen uit de zorgplicht hebt genomen. Als dat het geval is hoef je je alleen maar nog te focussen op de maatregelen die je nog niet genomen hebt. Voer daarom een 0-meting of GAP-analyse uit op NIS2.
Heb je advies nodig of jouw organisatie moet voldoen aan NIS2 ? Of wil je kijken waar jouw organisatie staat en een 0-meting of GAP-analyse uitvoeren? Onze experts helpen je graag!
