Gevolgen niet tijdig omzetten NIS2- en CER-richtlijn naar nationale wetgeving
23 oktober 2024
Het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke) vraagt meer tijd dan verwacht.
Dit komt doordat het een omvangrijk en complex traject is dat zorgvuldigheid vereist. Nederland haalt het dan ook niet om voor de deadline van 17 oktober 2024 deze richtlijnen om te zetten naar nationale wetgeving. De Tweede Kamer is hierover eerder dit jaar geïnformeerd.
Wat precies de gevolgen zijn van het niet tijdig omzetten van de NIS2- en CER-richtlijn naar nationale wetgeving in de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de twee bovengenoemde wetten, is beschreven in de Kamerbrief gevolgen niet tijdige implementatie NIS2- en CER-richtlijn. De verwachting is dat beide wetten in het derde kwartaal van 2025 in werking treden.
Rechten en verplichtingen
Gedurende de periode van 17 oktober 2024 tot de datum van inwerkingtreding van de twee bovengenoemde implementatiewetten gelden voor organisaties die onder de richtlijnen vallen, nog geen daaruit voortvloeiende verplichtingen. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer Security Incident Response Team (CSIRT).
CER-richtlijn
De CER-richtlijn wordt geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Gedurende de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn. Deze verplichtingen gelden pas voor organisaties wanneer de Wet weerbaarheid kritieke entiteiten in werking treedt en een organisatie wordt aangewezen als kritieke entiteit. Na deze aanwijzing heeft een kritieke entiteit 10 maanden de tijd om bijvoorbeeld te voldoen aan de zorgplicht en de meldplicht uit deze wet.
NIS2-richtlijn
De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. Deze wet zal gelden voor essentiële en belangrijke entiteiten. In de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet hebben de entiteiten die van rechtswege onder de NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT), dit vanwege rechtstreekse werking van sommige bepalingen in de richtlijn. Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas in zodra de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.
Lees meer over de periode tussen 17 oktober 2024 en de inwerkingtreding van de Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten in de eerder genoemde Kamerbrief gevolgen niet tijdige implementatie NIS2- en CER-richtlijn of op onze website. Bekijk ook de vragen en antwoorden over de NIS2-richtlijn die hierover zijn opgesteld.
Wacht niet af, ga aan de slag
De Rijksoverheid roept organisaties uitdrukkelijk op om alvast aan de slag te gaan en niet te wachten tot de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in werking zijn getreden. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Bekijk meer informatie over de wijze waarop organisaties zich kunnen voorbereiden op de komst van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Meer weten over wat de sectoren en criteria zijn die bepalen of een organisatie onder de NIS2-richtlijn valt? Ga naar het overzicht op de website van de NCTV.