Stand van zaken NIS2

Vanaf 17 oktober 2024 is de de Europese richtlijn NIS2 van kracht. Zolang de vertaling in Nederlandse wetgeving niet is afgerond houdt dit in dat organisaties wel aanspraak kunnen maken op ondersteuning bij cyberincidenten, maar nog niet hoeven te voldoen aan de plichten die in de richtlijn is vastgelegd. VWS verwacht dat de Nederlandse wetgeving eind 2025 of begin 2026 van kracht zal zijn. De Nederlandse wetgeving wordt vastgelegd in de Cybersecuritywet. De wet wordt aangevuld met een Algemene maatregel van bestuur (het Cyberbeveiligingsbesluit) en een Ministeriele Regeling (MR). 

 

Verplichte training bestuurders
Vanaf het moment van ingang gelden de rechten en de plichten zoals die in de Cybersecuritywet zijn opgenomen, waaronder een registratieplicht, een meldplicht en een zorgplicht. Onderdeel van de zorgplicht is dat bestuurders een training moeten volgen waarmee zij in staat zijn om risico's voor de beveiliging van hun netwerk- en informatiesystemen te herkennen en in staat zijn om passende risicobeheersmaatregelen te beoordelen. Wij verkennen op dit moment de mogelijkheden om hierin samen te werken met bijvoorbeeld onze BoZ-partners. In de bijgevoegde versie van het Cyberbeveiligingsbesluit zijn in artikel 20, 21 en 22 de eisen opgenomen waaraan de training en de onafhankelijke en gekwalificeerde trainer moeten voldoen. Een bestuurder moet voldoen aan deze eisen uiterlijk twee jaar na ingang van de wet.

 

Afspraken met Z-CERT
Ook verwachten wij dat we komend najaar meer informatie kunnen geven wat de invoering van de Cyberbeveiligingswet betekent voor de afspraken met Z-CERT. Meer informatie daarover volgt zodra we daarover meer duidelijkheid hebben.