Een van de leuke dingen van consultant zijn, is dat je steeds bij andere organisaties aan de slag kunt en dat je bij elk project iets nieuws leert. Nog beter is als je organisaties kunt ondersteunen in jouw geboorteland. Sinds een aantal jaar mag ik een Italiaanse organisatie in de transportsector ondersteunen bij het verbeteren van hun informatiebeveiliging. Dit is uitdagend, want ondanks dat Italiaans mijn moedertaal is en dat ik in Italië gestudeerd heb, ben ik vooral in Nederland werkzaam geweest.
De Network and Information Security (NIS 2) richtlijn is in Nederland op dit moment een hot topic in ons vakgebied. In Italië is het niet anders, en in opdracht van mijn klant mocht ik uitzoeken wat de gevolgen van de introductie van de nieuwe wetgeving voor hun bedrijf zijn. Een EU-Richtlijn wordt in nationale wetgeving geïmplementeerd en de landen hebben wat flexibiliteit in de manier waarop dat gebeurt. Zo zien we dat dat er best veel verschillen tussen de Nederlandse en Italiaanse implementatie ontstaan: niet alleen inhoudelijk, maar ook in de gekozen aanpak.
Er is in dit artikel niet voldoende ruimte om de Italiaanse interpretatie van NIS 2 uit te leggen, maar ik bespreek hier graag een aantal zaken die mij zijn opgevallen in vergelijking met de Nederlandse implementatie. Volgens de EU-Richtlijn had de nationale wetgeving in moeten gaan op 18 oktober 2024. Terwijl Nederland ervoor gekozen heeft om de gehele introductie van de nationale wetgeving uit te stellen tot het derde kwartaal van 2025, kiest Italië voor een gefaseerde implementatie: de wet is op 16 oktober van kracht geworden en verplichtingen voor de bedrijven volgen met verschillende deadlines. Vanaf het begin heeft de Italiaanse regering een ander wettelijk instrument gekozen, de “decreto legislativo”. Hiermee geeft het parlement de regering de bevoegdheid om een wet over een bepaald onderwerp te maken. De regering bepaalt nu dus over zeer technische materie, maar het parlement kan uiteraard de wet later goedkeuren of wijzigen. Al voor de zomer was een ontwerp klaar en na een consultatie met diverse deskundigen en aanpassingen (ik sla een paar stappen over) is uiteindelijk op 1 oktober van dit jaar de wet in de “Gazzetta Ufficiale” (Staatscourant) gepubliceerd.
Nederlandse- versus Italiaanse aanpak
Waarin verschilt de Nederlandse aanpak van de Italiaanse wet? Italië kiest ervoor om eerst te beginnen met de administratieve verplichtingen. In de eerste twee maanden van 2025 (en daarna elk jaar in dezelfde periode) kunnen bedrijven die verwachten onder de NIS2 te vallen, zich registeren in het daarvoor bestemde portaal van de Italiaanse autoriteit (ACN – National Cybersecurity Agency). In deze fase wil de ACN van de ondernemingen weten wat voor bedrijf het is, adres en contactgegevens, om welke sector het gaat en de contactpersonen voor cybersecurity. Uiterlijk op 31 maart zal de ACN de lijst opstellen van de essentiële en belangrijke entiteiten en krijgen de geregistreerde bedrijven daar bericht over.
Voor alle bedrijven die in de lijst zijn opgenomen, geldt de verplichting om tussen 15 april en 31 mei 2025 (en dan elk jaar in dezelfde periode opnieuw) informatie toe te voegen aan de registratie op het ACN portaal: IP ranges, landen waar het bedrijf actief is, natuurlijke personen die verantwoordelijk zijn voor de onderneming (dus niet alleen voor informatiebeveiliging, maar de bestuurders met eindverantwoordelijkheid). Vervolgens wordt er tussen 1 mei en 30 juni van elk jaar aan de entiteiten gevraagd om een lijst door te geven van de uitgevoerde activiteiten en geleverde diensten, zodat de bedrijven beter door de ACN kunnen worden gecategoriseerd.
Van de Cybersecuritywet (Cbw), zoals de Nederlandse implementatie van de NIS2 gaat heten, kennen we alleen de draft die voor de zomer 2024 ter consultatie is aangeboden. Daarin werd niet gesproken over deadlines en gefaseerde implementatie (en dat is het eerste verschil) en zoals we weten is de invoering van de wet uitgesteld naar het tweede deel van 2025. De NCSC, die waarschijnlijk voor Nederland een vergelijkbare rol gaat spelen als de ACN voor Italië, heeft wel het registratieportaal al beschikbaar gesteld voor de Nederlandse ondernemingen, en adviseert bedrijven al te starten met het nemen van maatregelen.
De verplichtingen voor de ondernemingen kunnen alleen door de lokale wetgeving worden opgelegd en niet door de Europese Directive. Dat betekent dat Nederlandse bedrijven, zolang de Cbw niet van kracht is, niet “NIS2-plichtig” zijn. Maar wanneer beginnen de “echte” verplichtingen voor de Italiaanse bedrijven?
De implementatie van de NIS2 wordt opgeknipt in twee fasen. In eerste instantie dienen bedrijven die officieel onder de NIS2 vallen binnen negen maanden te voldoen aan de verplichtingen rondom het melden van incidenten.
Deze negen maanden gaan in vanaf het moment dat organisaties bericht hebben ontvangen dat zij aan de wet moeten voldoen. Dit bericht ontvangen zij uiterlijk 31 maart 2025.
Achttien maanden na dezelfde datum dienen de NIS2-plichtige bedrijven alle securitymaatregelen te hebben geïmplementeerd.
Deze securitymaatregelen zijn nog niet uitgewerkt (niet meer dan hoe ze nu zijn opgenomen in de EU-richtlijn) maar dat was bij de introductie op 16 oktober nog niet nodig. Tot aan 31 maart 2025 zal gewerkt worden aan het verder specificeren van de maatregelen om zo de bedrijven richting te geven. Wel is in de Italiaanse tekst duidelijk vermeld dat toezicht op de implementatie van de maatregelen ook risico gebaseerd gaat plaatsvinden en dat de bedrijven de tijd krijgen om hun digitale weerbaarheid te vergroten.
De verschillen tussen de Italiaanse en Nederlandse implementatie van de NIS2-richtlijn laten zien hoe divers de aanpak kan zijn binnen Europa, zelfs binnen hetzelfde wettelijke kader. Elk land heeft zijn eigen prioriteiten en methoden om bedrijven te ondersteunen in het verbeteren van hun cyberweerbaarheid. We moeten niet vergeten dat er ook grote verschillen zijn in hoe het economische landschap eruitziet binnen Europa. Deze verschillen brengen zeker uitdagingen met zich mee voor bedrijven die in meerdere landen actief zijn, maar bieden het ook kansen voor maatwerkoplossingen die passen bij de specifieke context van elk land. Ik zal de ontwikkelingen in zowel Italië als Nederland nauwlettend blijven volgen om mijn klanten zo goed mogelijk te adviseren. De komende maanden zullen cruciaal zijn voor bedrijven die onder de NIS2-verplichtingen vallen, waarbij een proactieve aanpak essentieel is om aan de nieuwe eisen te voldoen.
