Tijdschrift voor Internetrecht 2024 nr. 6

NIS 2 te laat geïmplementeerd: toch van toepassing?

mr. R.J.J. Westerdijk1 Het artikel is in de opmaak van het tijdschrift rechts als pdf beschikbaar.

Cybersecurity is een hot topic, en al lang niet meer een niche waarmee alleen IT-juristen druk zijn. Sterker nog, het is intussen een onderwerp waar het bestuur van menig onderneming wakker van ligt. Ook de wetgever laat zich in dat opzicht niet onbetuigd. In dit tijdschrift besteden we uiteraard aandacht aan de stortvloed van nieuwe wetgeving die vanuit de EU op ons afkomt. Het is bijna niet bij te houden, en voor de Nederlandse overheid geldt dat soms letterlijk. Een jammerlijk voorbeeld daarvan is de implementatie van de NIS 2-richtlijn ("NIS 2").2

 

Voor een enigszins selecte groep van organisaties en bedrijven schrijft de NIS-richtlijn3 sinds 2016 allerhande maatregelen voor om cyberincidenten te voorkomen en/of de gevolgen ervan te verkleinen. De NIS-richtlijn is in ons land omgezet in de vorm van de Wet beveiliging netwerk- en informatiesystemen (Wbni).4

 

Eind 2022 is NIS 2 vastgesteld.5 Deze is op 16 januari 2023 in werking getreden en diende uiterlijk op 17 oktober 2024 in het nationale recht te zijn omgezet. Dat is in Nederland niet gelukt. De Minister van Veiligheid en Justitie schreef op 16 oktober 2024 aan de Tweede Kamer dat de implementatie vertraagd is: de verwachting is dat pas in het laatste kwartaal van 2024 een wetsvoorstel aan de Raad van State kan worden aangeboden, en dat de wet in het derde kwartaal van 2025 kan worden vastgesteld. Dat laatste lijkt me ambitieus, maar vast staat in ieder geval dat NIS 2 nog niet geldt per de in de richtlijn gestelde uiterste implementatiedatum. Het gaat hierbij overigens niet om implementatie van NIS 2 in de Wbni maar in de vorm van een nieuwe Cyberbeveiligingswet.

 

Gegeven het grote belang van cybersecurity en het feit dat NIS 2 al bijna twee jaar geleden is vastgesteld, is het teleurstellend dat het zelfs niet is gelukt om binnen de implementatietermijn een wetsvoorstel aan de Raad van State voor te leggen.6 Ik begrijp goed dat het ingewikkelde materie is, en dat er ambtelijk en organisatorisch het nodige moet gebeuren, maar hier was wat meer voortvarendheid toch wel op zijn plaats geweest. Het duurt nu zo een jaar langer voordat deze belangrijke wetgeving van kracht wordt, waardoor het toezicht door en vanuit de overheid op het treffen van voldoende beveiligingsmaatregelen alsmede het monitoren van incidenten in dat kader wordt bemoeilijkt.

 

Dat gezegd hebbend probeert de minister de schade toch enigszins te beperken, door gebruik te maken van Europeesrechtelijke doctrines. In genoemde brief van 16 oktober 2024 geeft de Minister aan dat NIS 2 in bepaalde opzichten toch al wel zal gelden vanaf 17 oktober 2024, namelijk door middel van directe werking en richtlijnconforme interpretatie:

 

"In de periode tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet gelden er voor organisaties geen verplichtingen vanuit de NIS2-richtlijn. Voor alle essentiële en belangrijke entiteiten gaan die verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Er kan dus ook niet op de naleving hiervan toezicht worden gehouden door de Nederlandse toezichthouder. Dit geldt eveneens voor verplichtingen die voortvloeien uit de Europese uitvoeringsverordening die nadere invulling geeft aan de plichten uit de NIS2-richtlijn.4 Voor organisaties die nu onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven in deze periode de uit die wet voortvloeiende rechten en plichten, alsook het toezicht op de naleving van die plichten, gelden. De Wbni blijft, ook voor zover het taken en bevoegdheden van overheidsinstanties zoals het NCSC betreft, van kracht totdat de Cyberbeveiligingswet in werking treedt. Sommige bepalingen uit de NIS2-richtlijn hebben in deze periode zogenoemde rechtstreekse werking. Dat betekent dat organisaties die van rechtswege onder de richtlijn vallen, vanaf 17 oktober 2024 bepaalde rechten zullen hebben, zoals het ontvangen van bijstand bij een cyberincident van een CSIRT."

 

Deze uitgangspunten zijn netjes uitgewerkt in een factsheet die als bijlage bij de brief is gepubliceerd, met vermelding van de relevante arresten van het Hof van Justitie in de voetnoten.7 Kort samengevat: er kan bij te late omzetting sprake zijn van directe werking, mits de betreffende bepaling inhoudelijk onvoorwaardelijk en voldoende nauwkeurig is. Directe werking werkt echter alleen verticaal omhoog, dat wil zeggen dat de burger erop een beroep kan doen richting de overheid. Burgers en (niet-overheid) organisaties kunnen onderling geen beroep doen op (horizontale) directe werking. Tegelijk kan op basis van richtlijnconforme interpretatie bestaande nationale wetgeving worden uitgelegd conform NIS 2, zolang dit niet in strijd is met het beginsel van rechtszekerheid of het verbod van terugwerkende kracht, en dit niet leidt tot uitleg van het nationale recht contra legem. Een dergelijke interpretatie werkt ook tussen burgers en (niet-overheid) organisaties onderling, en kan (ook in relatie tot de overheid) in het nadeel van de burger uitvallen. Bestuurlijke handhaving wordt geacht in strijd te zijn met het rechtszekerheidsbeginsel.

 

Waar leidt dit toe in het geval van NIS 2? Het betekent dat de partijen die nog niet door NIS 1 werden bestreken, maar wel vallen onder NIS 2, nog niet aan de verplichtingen van NIS 2 hoeven te voldoen. Tegelijk kunnen deze partijen wel een beroep doen op bijstand van een Computer Incident Response Team (CSIRT) en wordt bij de oprichting of aanwijzing van nieuwe CSIRTs ook al vooruitgelopen op de nieuwe wetgeving. Ten aanzien van de uitgebreidere meldplichten onder NIS 2 zal nog geen verplichting bestaan, maar deze kunnen wel op vrijwillige basis worden gedaan. Het registratie- en meldportaal dat wordt vereist om gegevens te delen voor partijen die onder NIS 2 vallen, zal vervroegd gereed zijn.8 Er zal, ten slotte, voor de aanvullende partijen en verplichtingen op basis van NIS 2 nog niet gehandhaafd worden door de toezichthouder(s).

 

Het is een voorzichtige toepassing van de directe werking en richtlijnconforme interpretatie van NIS 2, en het leidt tot een beperkte werking ervan tot het moment van daadwerkelijke implementatie. Des te meer reden om de implementatie nu zo spoedig mogelijk af te ronden. Daarover zullen we in dit tijdschrift graag weer verslag doen.

Deel deze pagina:

Nog niet beoordeeld

Bijlage(n)

Artikel informatie

Type
Overig
Auteurs
mr. R.J.J. Westerdijk1
Auteursvermelding
Ik ben auteur van dit artikel
Datum artikel
Uniek Den Hollander publicatienummer
UDH:IR/18484

Verder in 2024 nr.6

 NIS 2 te laat geïmplementeerd: toch van toepassing?

Cybersecurity is een hot topic, en al lang niet meer een niche waarmee alleen IT-juristen druk zijn. Sterker nog, het is intussen een onderwerp waar het bestuur van menig onderneming wakker van lig...

 Een onuitlegbaar recht: Juridische en praktische grenzen van het recht op uitleg in de AI Act

De AI Act[2] introduceert een recht op uitleg bij besluiten genomen door hoogrisico AI-systemen. Dit recht biedt een geruststellend maar illusoir antwoord op fundamentele epistemologische problemen...

 Signaleringen

Europese Commissie: AI Office brengt concept Code of Practice for GPAI uit De AI Office van de Europese Commissie (EC) heeft een eerste conceptversie uitgebracht van haar Code of Practice for Gene...