Kabinet steunt versoepeling Europese cyberregels
Terwijl Nederland nog volop worstelt met de invoering van de nieuwe Cyberbeveiligingswet, heeft de Europese Commissie alweer een ingrijpend voorstel gepresenteerd om diezelfde regels te vereenvoudigen. Met het nieuwe voorstel voor ‘NIS2-simplificatie’ wil Brussel de regeldruk voor bedrijven verlagen, maar tegelijkertijd de teugels strakker aantrekken bij kritieke infrastructuur en ransomware-aanvallen.
De timing is opvallend. Nederland heeft de oorspronkelijke deadline voor de NIS2-richtlijn (17 oktober 2024) niet gehaald. Het wetsvoorstel dat deze Europese regels vertaalt naar Nederlandse bodem ligt momenteel nog ter behandeling in de Tweede Kamer. Toch oordeelt het kabinet bij monde van minister Berendsen (Buitenlandse Zaken) positief over de nieuwe Brusselse plannen: harmonisatie en minder administratieve lasten zijn hard nodig in een steeds digitaler Europa.
Een nieuwe categorie: de ‘Small Mid-cap’
Een van de meest concrete maatregelen om de regeldruk te verlichten, is de introductie van een nieuwe bedrijfscategorie: de small mid-cap. Dit zijn bedrijven die qua omvang tussen het middenbedrijf en de grote ondernemingen in vallen.
Onder de huidige regels worden veel van deze bedrijven aangemerkt als ‘essentieel’, wat gepaard gaat met streng, proactief toezicht. Het nieuwe voorstel schuift een deel van deze groep door naar de categorie ‘belangrijk’. Het resultaat? Een lichter, reactief toezichtsregime. Toezichthouders komen dan pas in actie na een incident of bij concrete signalen van misstanden, wat de dagelijkse last voor ondernemers moet verlagen.
Ransomware en quantum-dreiging
Hoewel Brussel aan de ene kant lasten verlicht, wordt er op andere fronten juist opgeschaald. Vanwege de groeiende dreiging van quantumcomputers – die in de toekomst huidige versleutelingen kunnen kraken – stelt de Commissie voor om post-quantum cryptografie verplicht op te nemen in de nationale strategieën.
Ook de strijd tegen ransomware krijgt een impuls. Bedrijven moeten onder de nieuwe regels veel gedetailleerder rapporteren over gijzelsoftware. Er moet niet alleen worden gemeld dat er een aanval is geweest, maar ook hoe de aanval binnenkwam en of er losgeld is betaald (en hoeveel). Het kabinet steunt dit, maar pleit wel voor een bredere definitie van ransomware: niet alleen versleuteling telt, maar elke vorm van digitale afpersing waarbij losgeld wordt geëist.
Strategische uitbreiding: Wallets en onderzeese kabels
De digitale wereld van 2026 ziet er anders uit dan die van enkele jaren geleden. Daarom wordt het toepassingsbereik van de wet uitgebreid naar nieuwe, cruciale spelers:
- Digitale Wallets: Aanbieders van de European Digital Identity Wallet (EUDI) vallen voortaan direct onder de strenge zorgplicht.
- Onderzeese kabels: Operators van onderzeese datatransmissie worden toegevoegd. Hoewel de meeste kabels in Nederland al gedekt waren, vallen nu ook niet-traditionele partijen zoals hyperscalers (grote techbedrijven die eigen kabels leggen) onder de wet.
- Militair transport: In lijn met de geopolitieke situatie worden ook entiteiten die betrokken zijn bij het vervoer van militair materieel binnen de EU onder de loep genomen.
Kanttekeningen uit Den Haag: "Geen Europese kop"
Ondanks de algemene steun plaatst het Nederlandse kabinet een aantal kritische kanttekeningen bij de Brusselse ambities.
Ten eerste is er scepsis over de rol van ENISA, het Europese cyberagentschap. De Commissie wil een centraal register waarin informatie over alle essentiële en belangrijke entiteiten in de EU wordt opgeslagen. Nederland vraagt zich af of dit niet te ver gaat en waarvoor die data precies gebruikt gaat worden.
Ten tweede maakt Den Haag zich zorgen over de voorgestelde maximumharmonisatie. Als Brussel de zorgplichtmaatregelen tot in detail vastlegt, mogen lidstaten zelf geen strengere eisen meer stellen. Het kabinet vreest dat dit de nationale veiligheid kan hinderen in situaties waar een specifieke Nederlandse dreiging juist om extra maatregelen vraagt.
De klok tikt
De voorgestelde implementatietermijn van twaalf maanden noemt de minister "niet haalbaar" voor Nederland. Gezien de trage start met de eerste Cyberbeveiligingswet wordt er in Brussel ingezet op een termijn van achttien maanden.
Met dit voorstel lijkt de weg naar een veiliger Europa eindelijk gepaard te gaan met een broodnodige opruimbeurt van de bureaucratische jungle. Voor de Nederlandse IT-sector betekent het echter vooral: opnieuw aanpassen aan regels die veranderen nog voordat ze officieel van kracht zijn.
Meer over NIS2
Over Witold Kepinski
