Brussel wil de cybersecurityregels van de NIS2-richtlijn vereenvoudigen om de lasten voor bedrijven te verlichten. Het Nederlandse kabinet steunt dat doel, maar waarschuwt in antwoorden aan de Tweede Kamer voor een pijnlijk neveneffect: de vereenvoudiging kan juist tot meer complexiteit en meer certificeringslast leiden. Precies het omgekeerde van wat de Europese Commissie beoogt.
Voor elke IT-dienstverlener en elke organisatie die zich voorbereidt op NIS2-verplichtingen is dat een relevant signaal. De aanname dat een Europese simplificatieronde je werk lichter maakt, klopt hier niet automatisch.
Wat de Commissie wil veranderen
De herziening raakt zowel de Cybersecurity Act als de NIS2-richtlijn. De Commissie wil onder meer de definities van wie onder de regels valt verduidelijken, een nieuwe categorie 'small mid-cap' invoeren om de lasten voor middelgrote bedrijven te verlichten, de reikwijdte uitbreiden (denk aan aanbieders van de Europese identiteitswallet en zeekabelexploitanten), en certificering aanbieden als manier om aan te tonen dat je voldoet. Daarbij hoort maximale harmonisatie van de beveiligingsmaatregelen via uitvoeringshandelingen, zodat in heel de EU dezelfde eisen gelden.
Op papier klinkt dat als minder rompslomp. In de praktijk schuilt het addertje in de details.
Waarom het juist zwaarder kan worden
Het kabinet zet zijn vraagtekens vooral bij de rol van certificering. De kern, in de woorden van het kabinet: certificering mag geen papieren tijger worden en het toezicht niet vervangen. Een certificaat is een momentopname en mist actuele kwetsbaarheden die een echte audit wel boven tafel haalt. Als certificering bovendien de auditbevoegdheden van toezichthouders inperkt, levert dat niet minder werk op maar een extra verplichting bovenop het bestaande toezicht.
Voor wie in meerdere lidstaten actief is, stapelt dat op. Organisaties kunnen te maken krijgen met parallelle verplichtingen: een audit in het ene land en een certificeringstraject in het andere. De maximale harmonisatie die het moest oplossen, neemt tegelijk de nationale ruimte weg om bij specifieke dreigingen strengere eisen te stellen, iets waar het kabinet bezwaar tegen maakt vanwege de subsidiariteit. En de criteria om landen of leveranciers als 'hoog risico' aan te merken zijn nog onduidelijk, met geopolitieke gevolgen van dien.
Het kabinet noemt de voorgestelde invoeringstermijn van twaalf maanden niet haalbaar en vraagt om minimaal achttien maanden, plus opheldering over de kosten van periodieke hercertificering. Dat zijn precies de soort onzekerheden die een compliance-traject duur en traag maken.
Wat dit betekent voor jouw organisatie
De les is om niet blind te varen op het woord 'vereenvoudiging'. Een EU-simplificatieronde kan in de uitvoering net zo goed extra lasten verschuiven naar de markt, een patroon dat je ook zag toen het Europees Parlement met de AI Omnibus instemde en juist beschermingen verzwakte voordat ze golden. Wacht dus niet op een definitieve, lichtere versie van de regels.
Concreet: breng nu in kaart of je onder NIS2 valt of straks onder de uitgebreide reikwijdte, en behandel certificering als een mogelijke aanvulling op je beveiliging, niet als een vervanging ervan. De inhoudelijke weerbaarheid telt, ongeacht welke kant de regels op buigen. Wie de basis op orde heeft, een actueel overzicht van systemen, back-ups, toegangsbeheer en detectie, kan elke certificeringsvariant aan. Een goede start is om eerst zelf de vijf lagen van een cybersecurity-basischeck na te lopen voordat je in dure trajecten stapt. Compliance volgt dan op veiligheid, niet andersom.
Veelgestelde vragen
Weerbaar voordat de regels landen
Of NIS2 nu zwaarder of lichter wordt, je cybersecurity moet inhoudelijk kloppen. Ik help je organisatie van begin tot eind: ik breng je risico's en verplichtingen in kaart, ontwerp de aanpak en richt back-ups, toegangsbeheer en monitoring in, waar het kan op je eigen infrastructuur.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
