Wat zijn de CER- en NIS2-richtlijnen?
De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, Oekraïne, cyberdreigingen en de gevolgen van klimaatverandering. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan twee richtlijnen, de Critical Entities Resilience (CER) directive en de Network and Information Security (NIS2) directive. Beide richtlijnen zijn gericht op een verbetering van de fysieke, digitale en economische weerbaarheid van Europese lidstaten.
De CER-richtlijn richt zich op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van NIS2-richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Wat betekenen de CER en NIS2 richtlijnen voor uw organisatie?
De Europese lidstaten hebben tot eind 2024 de tijd om de richtlijnen op te nemen in nationale wetgeving. Zo moet volgens beide richtlijnen een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Hieronder wordt samengevat welke verplichtingen de CER- en NIS2-richtlijnen voorschrijven en voor welke sectoren ze gaan gelden, zodat organisaties zich een beeld kunnen vormen van de verplichtingen waaraan ze eind 2024 mogelijk moeten voldoen.
Dit beeld roept waarschijnlijk vragen op die op dit moment helaas nog niet beantwoord kunnen worden, simpelweg omdat de concrete vertaling naar Nederlandse wetgeving pas net gestart is. Rond de zomer 2023 start een consultatie-periode waarin burgers, bedrijven en overheidsinstellingen feedback kunnen geven op wet- en regelgeving die in voorbereiding is. Op dat moment kan ook meer duidelijkheid geboden worden over de concrete vertaling van de richtlijnen naar nationale wetgeving, zodat organisaties zich beter kunnen voorbereiden.
Hoewel veel vragen nu nog niet beantwoord kunnen worden, hoort de Rijksoverheid wel graag welke vragen uw organisatie heeft. Stel uw vraag dan ook aan het ministerie dat verantwoordelijk is voor de sector waarbinnen uw organisatie actief is, zodat de Rijksoverheid weet welke vragen er leven en beantwoord moeten worden.