Ingrijpende Last minute aanpassing NIS2 in Duitsland

Volgens het Europees Recht moeten richtlijnen, zoals NIS2, standaard binnen twee jaar worden omgezet naar nationaal recht. Nederland loopt bij NIS2 behoorlijk achter, naar wie weet kan Den Haag daardoor iets opsteken van de last minute aanpassingen van het Duitse parlement.

Over NIS2 is op ITchannelPRO al veel geschreven. De lezers zullen daarom wel redelijk bekend zijn met het hoe,wat en waarom. De formule route is waarschijnlijk minder bekend. Een richtlijn “uit Brussel” is geen wet die voor Nederland geldt. Inhoud en strekking moeten worden overgenomen in nationale wetgeving. Dat kan door een bestaande wet aan te passen of een nieuwe wet op te stellen.

In elk van de twee gevallen zal de opzet van die wet worden voorgelegd via een consultatie. Daarna volgt nog een paar keer advies en pas daarna kan de Kamer er over stemmen. De eerste rondes zijn al gedaan, maar die val van het kabinet is de rest verzand.

Niet slim, want deze wetgeving is hard nodig om het land veiliger te maken. De meeste entiteiten (publieke -en privatesector) zullen al de nodige maatregelen hebben genomen, maar het zou handig zijn om dat een wettelijke grondslag te geven. Pas dan is bijvoorbeeld betere toetsing mogelijk.

Last minute aanpassingen

In de fase van behandeling de Tweede Kamer kunnen er ook nog last minute aanpassingen worden gemaakt. Dat kan bijvoorbeeld omdat een hiaat niet eerder was opgevallen of omdat een nieuw risico is ontstaan.

Het Duitse parlement heeft recent bij de behandeling van het wetsvoorstel waarin NIS2 wordt opgenomen behandeld. In die fase in de scope van NIS2 iets aangescherpt. Toezichthouder BSI zal _op verzoek van het parlement_ de mogelijkheid krijgen om aanbieders van openbaar toegankelijke telecommunicatiediensten met 100.000 of minder klanten, aan te spreken en opdrachten te geven.

Gelijke monniken, gelijke kappen

Door het verlagen van de drempelwaarde voor toezicht vallen in Duitsland nu ook alle regionale aanbieders onder NIS2. Dat is een voorbeeld van voortschrijdend inzicht én een ingrijpende aanpassing. Politici snappen dat ook kleine aanbieders kunnen worden aangevallen of als stepping-stone misbruikt worden. Anders gezegd: Gelijke monniken, gelijke kappen. Hoeveel klanten je hebt maakt niet meer uit. Het feit dat je een verbinding via FttH, mobiel, koper of coax aanbiedt maakt dat je onder NIS2 valt.

“kritieke componenten”

Aangescherpt is ook een regeling waardoor de onder NIS2 vallende entiteiten verboden kan worden gebruik te maken van “kritieke componenten van een fabrikant”. Wat daarmee bedoeld wordt is wel duidelijk. De aanscherping is vooral relevant in verband met het voorgaande punt. De scope van deze maatregel geldt dus ook voor de kleine aanbieders!