Het omzetten van de EU-richtlijn NIS2 in nationale wetgeving loopt vrijwel nergens in Europa van een leien dakje. Terwijl Nederland met de vertaling van deze richtlijn in de Cyberbeveiligingswet (Cbw) zeker 1,5 jaar achterloopt, heeft het nieuwe Duitse wetsontwerp bij onze oosterburen een golf van kritiek uitgelokt.
Voice, de grootste Duitse belangenorganisatie van it-gebruikers, zucht onder de bureaucratische lasten die de implementatie van NIS2 met zich mee brengt. Volgens deze Duitse federatie worden de kosten onderschat, zijn de controlemechanismen te zwak en blijft onduidelijk wie waarvoor verantwoordelijk is. Dit geldt met name voor de controle, de aansprakelijkheid en implementatie.
Volgens de belangenorganisatie worden de in het wetsvoorstel genoemde extra kosten van gemiddeld 76.000 euro per bedrijf per jaar aanzienlijk onderschat. Dat geraamde bedrag ligt overigens nog een stuk boven de schattingen in Nederland.
Dezelfde aansprakelijkheid
Voice pleit voor praktische vereisten en een duidelijke verantwoordelijkheidsverdeling tussen overheid en bedrijfsleven. Voor beiden zouden dezelfde aansprakelijkheidsregels moeten komen. Private managers zijn nu persoonlijk aansprakelijk voor tekortkomingen in de cybersecurity, zoals een gebrek aan training. De directeuren van federale agentschappen worden echter niet beschouwd als ‘management’ volgens het NIS2-concept. Ze zijn daarom vrijgesteld van deze verplichting.
Voor het mkb moeten er Implementeerbare eisen en ‘best practices’ komen. De huidige eis van proportionele maatregelen is te vaag. Onduidelijk blijft met welke specifieke compliancekosten mkb’ers daadwerkelijk te maken krijgen. Om onzekerheid te voorkomen, meent Voice dat snelle verduidelijking door middel van best practices geboden is.
Ook dringt de organisatie aan op realistische overgangsperiodes, bijvoorbeeld voor productcertificeringen en technische wijzigingen. Dan kunnen bedrijven de NIS2-vereisten beter implementeren.
Geen consistente monitoring
Regelmatige audits zijn nodig voor duurzame implementatie. De ervaring leert dat wettelijke vereisten vaak niet blijvend worden geïmplementeerd zonder consistente monitoring. Gepleit wordt voor duidelijke regels voor het beheer van kwetsbaarheden. Er zouden transparante vereisten voor het auditen en monitoren van it-beveiligingsrisico’s moeten komen, aldus Voice.
Verder wil de organisatie dat er snel een centraal online-platform komt voor de verwerking van rapportage- en verificatieverplichtingen. Verplichtingen voor gecertificeerde producten mogen niet leiden tot lock-in-effecten. Voice pleit voor concurrentiebeschermende maatregelen tegen monopolisering.
