Kan de implementatie van de beveiligingsrichtlijn NIS2 bij sommige bedrijven meerdere jaren in beslag nemen, andere bedrijven verwachten dat het inregelen van de nieuwe wet- en regelgeving enkele maanden gaat duren. Grote ondernemingen denken dat het voldoen aan de zorgplicht hen gemiddeld 6.708 uur kost.
Dit blijkt uit de nota van toelichting op het Cyberbeveiliging Besluit (Cbb) en de uitwerking van de Cyberbeveiligingswet (Cbw), de Nederlandse vertaling van de EU-richtlijn NIS2.
Tekenend is dat de wet ook bij ambtenaren van het ministerie van Justitie tot hoofdbrekens leidt. Zo had de wet vorig jaar oktober al van kracht moeten zijn, maar dit lukt op zijn vroegst pas in het tweede kwartaal van 2026. Te complex, vinden de betrokken juristen.
De complexiteit werkt ook door naar de bedrijven die straks met deze wet te maken krijgen. Tijdens de consultatie van het wetsvoorstellen klaagden ondernemersorganisaties steen en been over de administratieve lastendruk. De meeste regeldruk vloeit voort uit de zorgplicht, governance-verplichting en registratieplicht.
Gemiddeld verwachten middelgrote bedrijven structureel 1.246 uur per jaar kwijt te zijn aan tijdsbesteding om te voldoen aan de zorgplicht.Bij grote ondernemingen ligt dit aanmerkelijk hoger, namelijk op gemiddeld 3.465 uur per jaar per bedrijf.
Out-of-pocket
Naast tijdbesteding moeten bedrijven ook out-of-pocket-investeringen doen. Grote ondernemingen verwachten 44.400 euro per bedrijf aan investeringen, middelgrote ondernemingen zijn gemiddeld 25 mille kwijt. De structurele out-of-pocket-kosten (bijvoorbeeld voor externe trainers) van middelgrote en grote ondernemingen liggen niet ver uit elkaar: gemiddeld dertig mille respectievelijk 32.800 euro.
Behalve eenmalige kosten voor het voorbereiden en implementeren van maatregelen in het kader van de zorgplicht verwachten bedrijven ook structurele meerkosten te maken. Bedrijven geven aan dat zij op veel thema’s die worden uitgewerkt in het Cbb al staand beleid hebben. De ISO27001- en NEN7510-standaarden vereisen dit immers al.
De structurele meerkosten voor bedrijven volgen dan ook primair uit verplichtingen die meer diepgang of een bredere scope van toepassing vereisen dan de maatregelen die bedrijven op dit moment al nemen.
Veel genoemd zijn de voorschriften met betrekking tot de beveiliging van de toeleveringsketen. Bedrijven die veel op projectbasis werken met ketenpartners verwachten dat het sluiten van overeenkomsten met deze partijen structureel meer tijd zal kosten. Ook voorschriften op het gebied van incidentenbehandeling gaan in de papieren lopen.
Aanpassingen
De internetconsultaties met belanghebbenden hebben ertoe geleid dat het Cyberbeveiligingsbesluit (Cbb, concrete invulling van maatregelen) en de uitwerking van de Cyberbeveiligingswet (Cbw, het juridisch kader) op een aantal punten worden aangepast.
Een aantal reacties heeft geleid tot aanpassing van de algemene maatregel van bestuur (amvb) of een nadere verduidelijking in de bijbehorende nota’s van toelichting.
Dit blijkt uit de nota van toelichting op beide voorstellen. Duidelijker moet naar voren komen dat hierbij sprake is van een risk-based– in plaats van een rule-based-aanpak. De invulling van de te nemen maatregelen zal afhankelijk zijn van de uitkomsten van de risicoanalyse.
In diverse artikelen in het Cbb is bepaald dat essentiële entiteiten een bepaald beleid moeten hebben vastgesteld. Hiermee tonen zij aan te hebben nagedacht over de mogelijke risico’s. Er wordt niet voorgeschreven wat de exacte omvang en inhoud van dit beleid moet zijn.
Ook artikel 9 van het Cyberbeveiligingsbesluit is aangepast, vooral waar het gaat om de verplichting om een bedrijfscontinuïteitsplan op te stellen en te onderhouden. Dit bestek moet een noodvoorzieningenpassage bevatten, waarin staat hoe de organisatie omgaat met uitval van systemen. Ook moet er aandacht zijn voor backupbeheer, zodat gegevens veilig en beschikbaar blijven. En het plan moet afgestemd zijn op de risicoanalyse.
Zo hadden Omni-U Services en MSP-ISAC tijdens de consultatie aangegeven dat niet voor elk incident een bedrijfscontinuïteitsplan nodig is. Daarnaast werd gesteld dat een noodvoorzieningenplan een heel ander plan is. Sunbites Cybersecurity stelde dat er geen apart plan hoeft te zijn voor de Cbw, maar dat dit is te integreren in bestaande plannen. Daarnaast gaf VNO-NCW aan dat ook hier een risicogebaseerde aanpak nodig is. Een aantal andere partijen vroegen aandacht voor de ot-omgeving in verband met backups.
Omni-U Services en Netbeheer Nederland hadden in hun consultatiereacties ook aangemerkt dat processen en procedures geen onderdeel zijn van het beleid, maar aparte documenten die uitvoering geven aan het beleid. Hierop zijn het Cbb en de nota van toelichting op verschillende punten aangepast.
Na kritiek tijdens de consultatie is de bepaling in de Cbb geschrapt dat de trainer onafhankelijk moet zijn, dat wil zeggen een externe partij, wat kostenverhogend werkt. Vanuit het mkb werd aangevoerd dat hier het middel het doel voorbijschiet. De training heeft tot doel dat bestuurders adequate beslissingen kunnen nemen over de beveiliging van de netwerk- en informatiesystemen van hun organisatie, niet dat zij tot in detail kunnen uitleggen hoe een bijvoorbeeld ddos-aanval werkt. Maar de verplichting van een training voor het bestuur is een (dwingend) vereiste uit de NIS2-richtlijn en is dus niet te wijzigen.
Verder is de vereiste geschrapt over het aantal uren dat de training is gevolgd. Critici vonden dat de duur van de training niets zegt over de kwaliteit ervan. De training hoeft geen diepgaande technische kennis te geven. Het gaat om strategisch inzicht, zodat bestuurders weloverwogen besluiten kunnen nemen over cyberbeveiliging binnen hun organisatie.
Amvb
Op 30 juni is het concept van de algemene maatregelen van bestuur (amvb) behorende bij het wetsvoorstel Cyberbeveiligingswet gestuurd naar de Tweede Kamer gestuurd. De maatregelen die organisaties vanuit de zorgplicht moeten nemen, kosten tijd en aandacht. Daarom adviseert de Rijksoverheid hen om niet af te wachten tot de inwerkingtreding van de wetsvoorstellen en de amvb, maar om alvast voorbereidingen te treffen.
