Diverse dreigingen zetten de veiligheid van onze maatschappij en economie in toenemende mate onder druk. Denk daarbij aan de oorlog in Oekraïne, cyberdreigingen, de gevolgen van klimaatverandering en COVID-19.
Om de fysieke, digitale en economische weerbaarheid van Europese lidstaten ten aanzien van deze dreigingen te versterken heeft de Europese Unie eind 2022 twee richtlijnen aangenomen; de Critical Entities Resilience Directive (CER-richtlijn) en de Network and Information Security Directive (NIS2-richtlijn).
U kunt hier meer lezen over de inhoud van beide richtlijnen en wat dit kan betekenen voor uw organisatie.
Begin 2024 meer inzicht in wat organisaties te wachten staat.
Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de CER- en NIS2-richtlijnen naar nationale wetgeving. Dit is een omvangrijk en complex traject dat uiterste zorgvuldigheid vergt, juist ook omdat de impact voor Nederlandse organisaties groot is. Zo zullen er bijvoorbeeld ten opzichte van bestaande wetgeving meer sectoren en meer organisaties moeten voldoen aan de nieuwe wetgeving. Bovendien wordt er meer van betrokken sectoren en organisaties gevraagd. Voor zowel de fysieke (CER) en digitale (NIS2) weerbaarheid komt er een zorgplicht (tot nemen van beveiligingsmaatregelen) en een meldplicht (van incidenten). Deze plichten gaan gelden voor organisaties die een dienst verlenen die belangrijk, essentieel of kritiek is voor het functioneren van de maatschappij of economie.
In het eerste kwartaal van 2024 vindt de internetconsultatie plaats. De concept wetteksten zijn dan gereed en sectoren, organisaties en personen krijgen dan gelegenheid erop te reageren. Dit geeft organisaties meer inzicht in wat er van hen wordt verwacht, als ze straks aan de wet moeten voldoen. Dat wil niet zeggen dat de concept wetteksten al meteen alles duidelijk maken. Na de internetconsultatie worden de ontvangen reacties overwogen en eventueel doorgevoerd. Ook worden specifieke zaken en details nog uitgewerkt in lagere wet- en regelgeving. Tegelijkertijd kunnen organisaties nu al veel doen om zich voor te bereiden.
Zodra de consultatieperiode start, kunt u hier op deze pagina de link vinden naar de concept wetteksten.
Wacht niet af, maar ga nu al aan de slag.
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Dit alles kan door de volgende maatregelen te nemen.
- Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van uw organisatie kunnen verstoren.
- Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s.
- Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
U kunt hier meer informatie vinden over de wijze waarop uw organisatie deze maatregelen kan nemen.
De Rijksoverheid raadt elke organisatie aan deze maatregelen te nemen om de continuïteit van de bedrijfsprocessen (beter) te waarborgen. Het zijn voor een deel ook de maatregelen die als zorgplicht en meldplicht in de wetgeving worden opgenomen. Voor organisaties die straks moeten voldoen aan de komende wetgeving is het dan ook van belang vroegtijdig te beginnen met de voorbereidingen. Het kost immers tijd om deze maatregelen te implementeren.
Moet mijn organisatie straks aan de nieuwe wetgeving voldoen?
Indien u wilt weten of uw organisatie aan de wetgeving moet voldoen, dan kunt u hier meer informatie vinden, waaronder een vragenlijst waarmee u zelf kunt evalueren of uw organisatie onder de NIS2-richtlijn valt.