NIS2: Een Bureaucratisch Monster in de Maak, Vreest Duitsland
NIS2 staat voor de Network and Information Security Directive 2, een Europese richtlijn die is bedoeld om de cyberbeveiliging in de Europese Unie te verhogen. In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet. De richtlijn verplicht bedrijven en organisaties in bepaalde sectoren om maatregelen te nemen om hun netwerk- en informatiesystemen te beschermen tegen cyberdreigingen
De transformatie van de EU-richtlijn NIS2 naar nationale wetgeving verloopt in Europa allesbehalve soepel.
Nederland, dat al met een aanzienlijke vertraging van 1,5 jaar worstelt met de vertaling naar de Cyberbeveiligingswet (Cbw), kijkt met enige bezorgdheid naar de ontwikkelingen in Duitsland. Het nieuwe wetsontwerp heeft daar een golf van kritiek losgemaakt, die de bureaucratische lasten van NIS2 aan de kaak stelt.
De Duitse belangenorganisatie Voice, de grootste vertegenwoordiger van IT-gebruikers in het land, ondervindt de gevolgen van de bureaucratie die met de implementatie van NIS2 gepaard gaat. De organisatie wijst erop dat de kosten voor bedrijven stelselmatig worden onderschat. De controlemechanismen zijn volgens hen te zwak en het is volstrekt onduidelijk wie verantwoordelijk is voor welke aspecten van de uitvoering. Dit gebrek aan helderheid is vooral problematisch als het gaat om controle, aansprakelijkheid en implementatie.
Voice stelt dat de extra kosten die in het wetsvoorstel worden genoemd, gemiddeld 76.000 euro per bedrijf per jaar, een ernstige onderschatting zijn. Dit bedrag ligt zelfs aanzienlijk hoger dan de schattingen in Nederland. De belangenorganisatie pleit voor praktische eisen en een duidelijke verdeling van verantwoordelijkheden tussen overheid en bedrijfsleven. Beide partijen zouden volgens hen onderworpen moeten zijn aan dezelfde aansprakelijkheidsregels. Terwijl private managers persoonlijk aansprakelijk worden gesteld voor tekortkomingen in cybersecurity, zoals onvoldoende training, blijven de directeuren van federale agentschappen buiten schot. Volgens het NIS2-concept worden zij niet als ‘management’ beschouwd en zijn ze daardoor vrijgesteld van deze verplichtingen.
Voor het midden- en kleinbedrijf (mkb) is er dringend behoefte aan implementatiegerichte eisen en ‘best practices’. De huidige eis van proportionele maatregelen is te vaag en laat onduidelijkheid bestaan over de specifieke compliancekosten waarmee mkb’ers te maken krijgen. Om deze onzekerheid te verminderen, pleit Voice voor snelle verduidelijking via concrete best practices.
Daarnaast dringt de organisatie aan op realistische overgangsperiodes, bijvoorbeeld voor productcertificeringen en technische aanpassingen. Dit zou bedrijven in staat stellen om de NIS2-vereisten op een haalbare manier te implementeren.
Ontbrekende Consistente Monitoring
Een ander kritiekpunt is het gebrek aan consistente monitoring. Regelmatige audits zijn cruciaal voor een duurzame implementatie van de wetgeving. De ervaring leert dat wettelijke vereisten vaak niet blijvend worden nageleefd zonder een gestructureerde controle. Voice pleit voor heldere richtlijnen voor het beheer van kwetsbaarheden en voor transparante eisen met betrekking tot het auditen en monitoren van IT-beveiligingsrisico’s.
Bovendien roept de organisatie op tot de oprichting van een centraal online-platform dat de verwerking van rapportage- en verificatieverplichtingen vergemakkelijkt. De verplichtingen voor gecertificeerde producten mogen bovendien niet leiden tot lock-in-effecten, en Voice pleit voor maatregelen ter bescherming van de concurrentie om monopolievorming tegen te gaan.
Conclusie
De implementatie van NIS2 dreigt uit te monden in een bureaucratisch monster dat niet alleen de kosten voor bedrijven opdrijft, maar ook de verantwoordelijkheden vervaagt. De zorgen van de Duitse belangenorganisatie Voice zijn dan ook meer dan terecht. Zonder duidelijke richtlijnen, realistische overgangsperiodes en een consistente monitoring zal de uitvoering van deze richtlijn niet alleen onduidelijk en kostbaar zijn, maar ook een grote bron van frustratie voor zowel overheid als bedrijfsleven. De tijd dringt voor een herziening van deze aanpak, voordat NIS2 een onoverkomelijke hindernis wordt voor de digitale vooruitgang in Europa.
