“Beste regering. Wilt u deze Europese richtlijn uitvoeren, voor deze naar de Tweede Kamer wordt gestuurd?“ Deze oproep van twee liberale volksvertegenwoordigers getuigde niet van veel Europees-juridisch inzicht. Partijgenoot Bart Groothuis zette gelukkig een paar weken later namens het Europees Parlement de puntjes op de nieuwe richtlijn, in EU jargon: ’NIS2’. Bedrijven en overheden worden verplicht ICT beter te beveiligen, met toezicht en boetes en al. Het bedrijfsleven, de overheid en de Kamerleden moeten aan de bak.

Cyberbeveiliging

De wet (het woord ‘richtlijn’ is misleidend) waar Groothuis, voormalig defensie-expert cybercrime, de afgelopen maanden keihard aan heeft gewerkt, is net in het Europees Parlement aangenomen. Veel publieke organisaties zijn ‘vitaal’ en moeten dus hun cyberbeveiliging opschroeven. Ook komt er strenger toezicht of bedrijven en overheden dit inderdaad op orde hebben. In de begroting van het ministerie van Justitie is al rekening gehouden met de nieuwe wet. Ook medewerkers bij een toezichthouder zoals het Agentschap Telecom (straks Rijksinspectie Digitale Infrastructuur) moeten aan de slag. Er zijn allerlei kruisverbanden met komende wetgeving die nog in onderhandeling is, over de digitale portemonnee en over de nieuwe Europese datawet.  De Nederlandse regering en de andere Europese overheden waren met de NIS2 richtlijn al in mei akkoord gegaan. De redactie van Nu.nl hoopt tevergeefs nog op nationale invloed via de ‘Europese Raad’.

De regeringen van 27 landen hebben nu bijna twee jaar om de wetstekst om te zetten in nationale wetten. Dat vergt de nodige afstemming. De Europese Telecomraad wordt door het ministerie van Economische Zaken gecoördineerd, maar het ministerie van Veiligheid en Justitie was hier eerstverantwoordelijk. Wetgevingsjuristen op beide departementen gaan aan de slag om de wet aan te passen, of beter; zijn daar hopelijk al mee bezig. Want in de Europese Unie is twee jaar over het voorstel onderhandeld en daarover is het parlement steeds in het openbaar geïnformeerd.  

Platgelopen

De Tweede Kamer krijgt het nationale wetsvoorstel begin volgend jaar. Het kan dan gaan toetsen of de inzet van het kabinet uit 2020 is vertaald in de eindtekst. Zoals het vasthouden aan een eigen indeling van sectoren en het voorkomen van invulling door de Commissie in ‘gedelegeerde regels’ en het terugschroeven van de bepalingen over toezicht die de Commissie voor ogen stonden. 

Dat is terugkijken, want de richtlijn is afgesproken en werkend Nederland moet aan de bak. De impact van NIS2 op organisaties is potentieel enorm, zowel qua aanpassing als qua geld. Er zijn al stevige waarschuwingen geuit door ondernemend Nederland en overheidsorganisaties. 

Vooral gemeenten staan voor een enorme aanpassingsslag, schrijft het overheidsvakblad Binnenlands Bestuur. Hopelijk hebben ook gemeente-ambtenaren de deur van de onderhandelaars en volksvertegenwoordigers platgelopen en wordt men in stad- en gemeentehuis niet overvallen. Net als de tech-bedrijven, de banken met hun elektronische identificatiemogelijkheden – en wie weet ook wel de buitenlandse cyberspionnen.

Wat gaat deze wetgeving voor jouw organisatie of bedrijf betekenen? Er kunnen boetes komen als de informatiebeveiliging niet op orde is en de investering daarvoor kan 10 tot 20 procent van het budget gaan kosten. Vermoedelijk zal de behandeling van de implementatiewet geen juridisch moetje worden, maar druk worden belobbyd. Want zoals Binnenlands Bestuur terecht quote: ‘Het slechtste dat je kan doen, is afwachten totdat iemand zegt dat dit moet gebeuren’.