Nederland en de NIB-richtlijn: hoe staan we ervoor?

Regelgevende autoriteiten in de EU hebben zich in recente jaren zorgen gemaakt over het groeiend aantal dreigingen voor onze essentiële diensten – de diensten die essentieel zijn om zaken te kunnen doen en een normaal leven te leiden. Als deel van de actie die ze ondernomen hebben om zulke diensten te beschermen, heeft de EU een nieuwe wet geïntroduceerd: de EU richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn), ook bekend als de ‘NIB-richtlijn’. 

Deze richtlijn had in nationale wetten omgezet moeten worden die op 10 mei 2018 in werking zouden treden. Er zijn echter een groot aantal lidstaten die dit nog niet gedaan hadden: maar zes lidstaten hebben een wet opgesteld die al van kracht getreden isTwintig hebben nog geen zichtbare actie ondernomen, wat betekent dat twee lidstaten al begonnen zijn met de omzetting, maar er nog geen wet aangenomen is: namelijk Frankrijk en Nederland.

Volgens het huidige wetsvoorstel, zou deze wet in Nederland als de “Cybersecuritywet” aan worden genomen, hoewel daar nog geen zekerheid over is. Dit plaatst organisaties echter in een lastige positie: wat moeten Nederlandse aanbieders van essentiële diensten en digitaledienstverleners doen, die aan de Richtlijn moeten voldoen? En organisaties die essentiële diensten aanbieden in een lidstaat die nog helemaal niets heeft gedaan? 

Aanbieders van essentiële diensten moeten in de gaten houden dat de NIS-richtlijn zelf al veel nuttige informatie bevat: de nationale wetten zijn hier immers op gebaseerd. Zij kunnen dus al aan de slag gaan met hun nalevingsproject op basis van de Richtlijn, evenals de bestaande wetten – de bedoeling van zo’n EU-richtlijn is immers zorgen dat de wetten van alle lidstaten min of meer gelijk zijn en er een minimum standaard is. 

Digitaledienstverleners – cloudcomputerdiensten, onlinemarktplaatsen en onlinezoekmachines – hebben het wat makkelijker. Gezien zulke diensten vaak grensoverschrijdend zijn, heeft het voor hen geen zin om zich zorgen te moeten maken over een verscheidenheid aan wetten. De EU begrijpt dit maar al te goed, en heeft daarom duidelijk gemaakt dat “een uniforme aanpak van digitale dienstverleners in de gehele Unie” mogelijk moet worden gemaakt. Dit is gebeurd in de vorm van een uitvoeringsverordening. 

Digitaledienstverleners kunnen daarom de richtlijn en uitvoeringsverordening direct volgen, en zorgen dat ze aan de vereisten voldoen. Ook al hebben Nederland, België en Luxemburg, evenals een groot aantal andere lidstaten, deze vereisten nog niet wettelijk gemaakt, kunnen gebruikers van deze diensten in de landen waar dit wél zo is kunnen klachten indienen aan hun toezichthoudende autoriteit, wat op z’n minst reputatieschade kan brengen. Het is daarom belangrijk om zo spoedig mogelijk aan een implementatieproject te beginnen. 

Stappen voor je organisatie

Zodra de wet is ingevoerd, is het aan je organisatie om deze volledig na te leven. Uiteraard is dit makkelijker gezegd dan gedaan, maar voor Europese lidstaten – waaronder Nederland – raden we aan om naar onze NIS Directive Compliance Guide te kijken.

Liever met een van onze experts praten over hoe wij je kunnen helpen? Neem hier gerust contact met ons op.

Meer informatie over de richtlijn is hier te vinden.

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.