Nederlandse NIS2-wet treedt pas in tweede of derde kwartaal 2025 in werking

De Cyberbeveiligingswet, die de Europese NIS2-richtlijn in Nederland moet implementeren, treedt naar verwachting pas in het tweede of derde kwartaal van 2025 in werking. Momenteel loopt de internetconsultatie voor het wetsvoorstel.

Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius meldde in januari dit jaar al dat de wetgeving niet op tijd opgesteld zou zijn. De deadline daarvoor lag op 17 oktober, maar het traject bleek zo complex dat de wet pas in het najaar naar de Tweede Kamer kan.

Nu geven Yeşilgöz en demissionair minister Rob Jetten van Klimaat en Energie in antwoorden op Kamervragen aan dat de wet pas in het tweede of derde kwartaal van 2025 in werking kan treden. De Kamervragen in kwestie draaien om de (cyber)veiligheid van Nederlandse offshore olie- en gasplatforms. Tweede Kamerlid Joost Eerdmans van JA21 wilde weten welke maatregelen genomen zijn om de veiligheid van deze platforms in de Noordzee te garanderen. De beide bewindslieden vertellen dat er diverse samenwerkingsverbanden zijn en dat er verschillende maatregelen zijn genomen. Ook wordt hier de NIS2 bij betrokken, die rechten en plichten rondom cybersecurity (verder) moet verankeren.

Op 21 mei startte de internetconsultatie voor het concept van de zogenaamde Cyberbeveiligingswet, waarmee de NIS2 wordt omgezet in nationale wetgeving. In deze periode kan iedereen suggesties doen voor de verbetering van het wetsvoorstel. Op 2 juli sluit de consultatie en worden alle reacties bekeken. Eventueel wordt het wetsvoorstel dan ook aangepast. Pas daarna gaat het naar de Tweede Kamer.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 30-05-2024 14:40 32

30-05-2024 • 14:40

32

Lees meer

België en Kroatië halen als enige de NIS2-deadline, Nederland loopt achter
België en Kroatië halen als enige de NIS2-deadline, Nederland loopt achter Nieuws van 17 oktober 2024
Rijksoverheid brengt NIS2-Quickscan uit ter voorbereiding op NIS2-richtlijn
Rijksoverheid brengt NIS2-Quickscan uit ter voorbereiding op NIS2-richtlijn Nieuws van 29 februari 2024
Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet
Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet Nieuws van 31 januari 2024
Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken
Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken Nieuws van 18 oktober 2023
Meer producten en artikelen
Politiek en recht NIS2 Tweede kamer

Reacties (32)

-Moderatie-faq
32
32
17
0
0
12
Wijzig sortering
eMiz0r 30 mei 2024 14:43
Bedrijven met minder dan 10 miljoen omzet/balanstotaal of 50 werknemers hoeven niet aan de wet te voldoen... Tenzij je een aanbieder bent van domeinregistratiediensten. Dan val je onder essentiele infrastructuur en moet je er wel aan voldoen.

Wat gaat dit betekenen voor al die minihosters die domeinen aanbieden?

[Reactie gewijzigd door eMiz0r op 23 juli 2024 08:25]

3raser @eMiz0r30 mei 2024 15:07
Is "aanbieder van domeinregistratiediensten" hetzelfde als "wederverkoper van domeinregistratiediensten"? Veel van die minihosters registreren hun domeinen via een derde partij. Wie is dan de verantwoordelijke?
Viper_Core @3raser30 mei 2024 15:24
Het is een keten, dus allemaal.

Ze zitten in de kritische sector.
denan @eMiz0r30 mei 2024 14:50
Dat ze hun processen zo moeten inrichten dat ze hun klanten kennen. Waarschijnlijk zal het eerst wel in zwakkere vorm actief worden: een verplichting dat er een geteste contactmogelijkheid is voor de eigenaar van een domeinnaam.

In belgie valideren ze dat door een e-mail te sturen naar de contacts met een link erin.

(art. 50 MVT: De registers voor topleveldomeinnamen en de entiteiten die
domeinnaamregistratiediensten verlenen, moeten onder meer ten minste één van de manieren om
met de domeinnaamhouder contact op te nemen, verifiëren.)

[Reactie gewijzigd door denan op 23 juli 2024 08:25]

RobbieB @eMiz0r30 mei 2024 14:59
Dat je moet zorgen dat je NIS2 compliant bent.
TwArbo @eMiz0r30 mei 2024 15:39
Domein registries zijn druk bezig om te voldoen aan de NIS2. Zo heeft EURid (registry van .eu) gisteren hun wijzigingen in productie gezet.
Snow_King @eMiz0r30 mei 2024 19:02
Paar citaten uit de NIS2 concept tekst:

"vertegenwoordiger: een in de Europese Unie gevestigde natuurlijke of rechtspersoon die
uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een register voor
topleveldomeinnamen, een entiteit die domeinnaamregistratiediensten verleent,"

"In afwijking van het eerste lid is deze wet van toepassing op de volgende entiteiten, indien zij hun
hoofdvestiging in Nederland hebben danwel de in artikel 44 bedoelde vertegenwoordiger is gevestigd
in Nederland:

a. DNS-dienstverleners;
b. registers voor topleveldomeinnamen;
c. aanbieders van cloudcomputingdiensten;
d. entiteiten die domeinnaamregistratiediensten verlenen;"

"4.1 Essentiële entiteiten

1. De volgende entiteiten zijn essentiële entiteiten:
a. gekwalificeerde aanbieders van vertrouwensdiensten;
b. aanbieders van registers voor topleveldomeinnamen;
c. DNS-dienstverleners;"

Je bent als minihoster dus heel snel essentieel. Dat betekend ISO27001, een ISMS, goede security regelen en voldoen aan NIS2.

Ik ben er blij mee, het geeft mij intern nog een extra stok mee om te slaan. Security en beschikbaarheid moet gewoon op orde zijn.
eMiz0r @Snow_King30 mei 2024 20:49
Dit is ook hoe ik het las. Het gaat niet enkel over de TLD registry(‘s) maar ook over aanbieders van domeinnamen. En aangezien het een behoorlijke papieren tijger is gaan imo veel kleine hosters hiermee in de knel komen.
aadje93 @eMiz0r30 mei 2024 15:46
whitelabel werk en zo de verantwoordelijkheid via de algemene voorwaarden doorschuiven ;)
Snow_King @aadje9330 mei 2024 18:57
Dat gaat met NIS2 niet zo maar lukken met de ketenverantwoordelijkheid. Als jij de factuur stuurt ben jij al snel verantwoordelijk.
locke960 30 mei 2024 15:09
Ik zou willen weten waarom het zo complex is die wet te maken. De richtlijn ligt er. Wat voor problemen zijn er in de consultatieronden dan naar boven gekomen die het zo ingewikkeld maken een wet op te stellen?

Is er iets mis met de NIS2 richtlijn?
Zijn wij zoveel anders dan andere landen en hebben we speciale regels en voorzieningen nodig?
Worden er bezwaren opgeworpen door belangengroepen die uitzonderingen / speciale regels willen?
Zitten we straks met een complexe wet, vol uitzonderingen en gaten, zodat het niet meer effectief is?

[Reactie gewijzigd door locke960 op 23 juli 2024 08:25]

Viper_Core @locke96030 mei 2024 15:23
Ieder land in de EU MOET het minimum aan wetgeving uit de EU overnemen, maar MAG meer invulling geven.
Lisadr @locke96030 mei 2024 17:17
Van insiders weet ik dat er een flinke lobby druk is geweest van zowel overheidsorganisaties als het bedrijfsleven om uitzonderingsposities te krijgen en een verzwakking van de eisen.
oltk @locke96030 mei 2024 19:49
De NIS-2 is een "directive" of richtlijn. Dat wil zeggen dat het een bepaald doel vastlegt dat de EU-landen moeten bereiken. De landen mogen zelf de wetgeving vaststellen om dat doel te bereiken. Het opzetten van een dergelijke wet doe je altijd binnen bestaande wetgeving. Er zijn altijd wetten die al een deel dekken van de nieuwe wet. Die moet je dus benoemen en de nieuwigheden en contexten verder uitwerken.

Nederland heeft hier lang over gedaan. Deels vanwege de complexe wetgeving, deels door de cultuur van juristen binnen JenV en MinBZK en deels door de gigantische workoverload van ambtenaren op dit moment. En let wel: nu hebben we het alleen maar over de primaire wetgeving. De onderliggende, secundaire specifieke wetten omvatten een nog veel complexer ecosysteem van wetgeving. Ook die komt eraan.
jongetje 30 mei 2024 18:15
Misschien ben ik niet zo security technisch onderlegd, maar iig voor mij was het wel handig geweest om wat achtergrond informatie te hebben over wat NIS2 precies is.

Had ik eerlijk gezegd wel van Tweakers verwacht.

[Reactie gewijzigd door jongetje op 23 juli 2024 08:25]

Minimise @jongetje30 mei 2024 22:11
NIS2 zegt gewoon dat je de deuren niet wijd open moet zetten voor hackers met wat standaard cybersecurity blah blah blah termen!

[Reactie gewijzigd door Minimise op 23 juli 2024 08:25]

webhalla @jongetje30 mei 2024 22:13
Heel veel relevante informatie voor weinig : https://www.digitaltrustcenter.nl/nis2/startpunt

Doe vooral de zelf-evaluatie om vast te stellen of het bedrijf moet voldoen aan de NIS2 wet : https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Viper_Core 30 mei 2024 15:25
De vertraging in Nederland, is feitelijk een overtreding van de wetgeving van de EU.

Het ontslaat ook helemaal niemand om er toch vast werk van te maken, de wetgeving vanuit de EU gaat per 17 oktober gelden.
sjroorda @Viper_Core30 mei 2024 15:36
Hier heb ik andere informatie over vanuit een sessie met de NCSC (dus m.i. best betrouwbaar). Allereerst is dit een 'richtlijn' en geen 'verordening'. Daarmee is de status anders, minder dwingend.

De verplichting is dat de lidstaten op 17 oktober nationale wetgeving hebben geïmplementeerd. Nederland zal dus niet aan deze Europese richtlijn voldoen, en is daarmee in gebreke.

De bedrijven binnen elke lidstaat echter moeten aan de Nederlandse wet voldoen, en zolang die er nog niet is kunnen ze niet aansprakelijk gesteld worden voor het niet volgen van de NIS-2 richtlijn.

Dit klinkt me plausibel in de oren, hoewel ik liever geen proefkonijn wil zijn om juridisch uit te testen :). Het is denk ik voor iedere organisatie in de scope van NIS-2 verstandig om in ieder geval te weten wat er in de richtlijn én het wetsvoorstel staat en toch op z'n minst een heel klein beetje beginnen met de voorbereidingen...
Viper_Core @sjroorda30 mei 2024 18:09
Dat is de genuanceerde versie die ruis op de lijn brengt.

Dus daarom is het handig om heel kort en bondig te reageren, hoewel dat dan in de nuance iets tekort komt.

Als iemand jouw reactie wel leest, maar stopt na je eerste alinea, lijkt het helemaal geen verplichting te zijn.

De verordening is dat lidstaten het moeten implementeren, dus het wordt lokale wetgeving.

Over dat handhaven verwacht ik zelf in de eerste twee jaar nog weinig.

Het is wachten tot er over een paar jaar nog echt flagrante missers zijn, die zullen zwaar worden beboet en mensen uit functie worden gezet.
webhalla @Viper_Core30 mei 2024 22:10
Als handhaving net zo gaat plaatsvinden als bij de AvG hoeft niemand zich zorgen te maken. Security-incidentje melden, mailtje de deur uit en verder.
SunnieNL @sjroorda31 mei 2024 10:18
Klopt voor Nederland. Nederland gaat hoop geld betalen aan boete om het later te implementeren.
Echter, Belgie heeft de wet al rond en goedgekeurd en duitsland lijkt het ook gewoon te gaan halen.
Dus als jij als essentieel/belangrijk bedrijf zaken doet met de andere EU landen, zul je toch echt al NIS2 compliant moeten zijn / moeten voldoen aan de wetgeving van die landen EN je daar ook moeten registreren als essentieel/belangrijk bedrijf (dat moet in elk land waar je zaken mee doet). Mocht je in de toeleveranciersketen van Belgie zitten, dan zul je waarschijnlijk vanuit die kant de mededeling krijgen dat je op een bepaald beveiliginsniveau moet zitten om zaken met hun te blijven doen en dat ook moeten aantonen.

Dan is er één uitzondering en dat is voor TLD's etc. Daarvoor wordt een legislation actief binnen de EU omdat die per definitie buiten de landsgrenzen actief zijn. Die moeten zich dus gaan houden aan een EU wetgeving die de landelijke wetgeving overruled.
M3m3nt0m0r1 30 mei 2024 14:58
maar het traject bleek zo complex dat de wet pas in het najaar naar de Tweede Kamer kan.
Grappig dat andere landen er minder problemen mee hebben....
3raser @M3m3nt0m0r130 mei 2024 15:09
Volgens deze website is Nederland echt niet het slechtste jongetje van de klas. Maar België lijkt de wet er inderdaad al doorheen te hebben.
webhalla @3raser30 mei 2024 22:07
dan maar zorgen dat je NIS2 gereed bent als je toeleverancier/dienstverlener van een Belgische belangrijke en essentiële organisatie bent.
edwin2021 30 mei 2024 17:44
Als de opstelling van de wetgeving al zo lastig is vraag ik mij af wie het resultaat nog gaat snappen.
Viper_Core @edwin202130 mei 2024 18:11
Als je je een beetje verdiept, is het wel te doen en anders laat je je helpen.

Als leidraad zijn er al drie verschillende raamwerken waar je je aan vast kunt houden;

CIS Controls, NIST, en niet te vergeten ISO27.
Statix 30 mei 2024 20:29
Uit ervaring weet ik dat voor veel industriële omgevingen dit een lastige (lees: dure) operatie gaat worden. Vele systemen, protocollen en hardware zijn niet voorbereid op dit al is het al jaren bekend dat NIS er aan zat te komen. Ik kan mij zo voorstellen dat deze industrieën flink zullen lobbyen voor uitstel en/of bijzondere uitzonderingen
Minimise @Statix30 mei 2024 22:17
Best veel is gewoon standaard praktijk! Voor de ervaren pentester is dat gewoon saaie oude koek 🥱😴😴😴
Falcon10 30 mei 2024 22:13
In Belgie is de NIS wetgeving op 17 mei gepubliceerd en dus bij deze officieel geworden.
Ergens eind 2026 moeten alle Important entiteiten hier aan voldoen, eind 2027 alle Essentiele entiteiten.
In Belgie zijn er 2 menu's om compliance te verkrijgen : ofwel door ISO 27001 certificatie, ofwel door te voldoen aan CyFyn framework, een framework ontwikkeld door het CCB (Belgisch cybersecurity center), gebaseerd op NIST cybersecurity framework.
In Luxemburg zou het Luxemburgs cybercenter een aangepaste versie van de Monarch tool willen gebruiken, die ze reeds voor NIS1 ontwikkeld hadden.

An sich zit er niet speciaal in de wetgeving voor IT omgevingen, wat ik nog wel steeds niet begrijp hoe ze verwachten dat binnen dit en 3 jaar ook alle OT omgevingen moeten aangepast worden om aan de regels te voldoen. Het zal al een wonder zijn voor veel IT omgevingen, maar OT gaat een drama worden.
Minimise @Falcon1030 mei 2024 22:27
Nee, niks bijzonders, alleen een beetje extra push vanuit de overheid om de 0day prijzen op te krikken, want die nday is straks gewoon 0 waard wanneer iedereen gewoon hun systeem op tijd patcht!
Plux 30 mei 2024 23:00
Dit doet me denken aan alley cat.exe

Is daar een middeltje voor

[Reactie gewijzigd door Plux op 23 juli 2024 08:25]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq