Deze week had in Nederland de NIS2-richtlijn in werking moeten treden. Die datum is niet gehaald, toch kan NIS2 al impact hebben op bedrijven.
Het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) vraagt meer tijd dan verwacht. Dit komt doordat het een omvangrijk en complex traject is dat zorgvuldigheid vereist. Dit stelt het Digital Trust Center. Nederland haalt het dan ook niet om voor de deadline van 17 oktober 2024 deze richtlijn om te zetten naar nationale wetgeving. De Tweede Kamer is eerder dit jaar geïnformeerd over de stand van zaken met betrekking tot de implementatie NIS2-richtlijn.
De verwachting is dat de Cyberbeveiligingswet in het derde kwartaal van 2025 in werking treedt.
Rechten en verplichtingen
Gedurende de periode van 17 oktober 2024 tot de datum van inwerkingtreding van de implementatiewet gelden voor organisaties die onder de richtlijn vallen, nog geen daaruit voortvloeiende verplichtingen. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn.Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer Security Incident Response Team (CSIRT).
Bijstand bij cyberincidenten
De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. Deze wet zal gelden voor essentiële en belangrijke entiteiten. In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet hebben de entiteiten die van rechtswege onder de NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT), dit vanwege rechtstreekse werking van sommige bepalingen in de richtlijn.
Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas in zodra de Cyberbeveiligingswet in werking treedt. Voor organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven de rechten en verplichtingen op grond van die wet gelden totdat de Cyberbeveiligingswet in werking treedt en de Wbni daarmee wordt ingetrokken.