Nieuwsbrief voor overheden
Om Europa beter te beschermen tegen bedreigingen van buitenaf is er sinds 2020 vanuit de Europese Unie gewerkt aan twee richtlijnen. De CER-richtlijn gaat over fysieke risico’s, zoals terrorisme en natuurrampen. De Network and Information Security (NIS2)-richtlijn richt zich op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De Europese lidstaten hebben tot 18 oktober 2024 de tijd om de NIS2-richtlijn op te nemen in nationale wetgeving. Onder de nieuwe NIS2 valt een groot aantal sectoren, waaronder voor het eerst ook overheden. En dat geeft druk op gemeenten.
De implementatie van zowel de CER- als de NIS2-richtlijn is een omvangrijk en complex traject, mede omdat er is besloten beide richtlijnen in samenhang te implementeren. Naast de complexiteit is ook de impact van de richtlijnen groot. Ten eerste omdat er ten opzichte van de NIS1-richtlijn meer sectoren en meer organisaties binnen de reikwijdte van de implementatiewet zullen vallen. Ten tweede wordt er ook meer van betrokken sectoren en organisaties gevraagd, omdat beide richtlijnen een zorgplicht (beveiligingseisen) en meldplicht bij incidenten bevatten. Ook voor de overheid is de impact groot, vanwege het vereiste toezicht en de CSIRT-taken.
Door deze complexiteit en impact is het van belang het wetsvoorstel zorgvuldig en duidelijk uit te werken, zodat alle betrokken partijen tijdig weten wat er van hen wordt verwacht. Om daarvoor voldoende tijd te nemen, is besloten meer tijd te nemen voor het schrijven van de wetsvoorstellen, die – zoals thans wordt verwacht - in het najaar van 2023 in consultatie worden gebracht in plaats van ‘voor’ de zomer van 2023 zoals eerder werd aangekondigd door de rijksoverheid.
Deze ontwikkelingen baren diverse gemeenten ernstig zorgen. Het opschuiven van deze deadlines heeft namelijk ook een andere kant. ‘Het gaat allemaal af van onze implementatietijd,’ aldus diverse cyberburgemeesters. Duidelijkheid is dus gewenst, en snel ook.
Door Kaoutar Azghay
