Holland Solar over nieuwe wetgeving cybersecurity: ‘Leg meer nadruk op uitvoerbaarheid’

Nederland werkt momenteel aan de implementatie van Europese wetgeving op het gebied van cyberveiligheid voor organisaties: Network and Information Security (NIS2). De Europese richtlijn wordt in Nederland geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). Op het moment dat de Cbw wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).

Cyberbeveiligingsbesluit
Organisaties vallen automatisch onder de NIS2-richtlijn, en daarmee de Cyberbeveiligingswet, als zij actief zijn in aangewezen sectoren en volgens bepaalde criteria gekenmerkt worden als ‘essentiële’ of ‘belangrijke’ entiteit. Ook de zonne-energiesector valt onder de richtlijn.

Tijdens de consultatie van de Cyberbeveiligingswet wees Holland Solar al op de losse eindjes. Ook voor de consultatie van het Cyberbeveiligingsbesluit – waarin de regels uit de Cyberbeveiligingswet worden uitgewerkt – heeft de brancheorganisatie nu een zienswijze ingediend. De meeste regels uit het Cyberbeveiligingsbesluit regelen de uitwerking van de zorgplicht. Dat is de verplichting om maatregelen te nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Bovendien worden bestuurders hoofdelijk aansprakelijk.

Harmonisatie
In haar zienswijze vraagt Holland Solar nu aandacht voor een aantal knelpunten. Ten eerste de praktische toepasbaarheid. De nadruk moet volgens Holland Solar meer liggen op uitvoerbaarheid in plaats van administratieve lasten.

Een van belangrijkste zaken waar de branchevereniging echter om vraagt, is Europese harmonisatie. Nederland moet zich volgens haar inspannen voor een gelijkwaardige implementatie van NIS2 binnen de EU. ‘Voor de uitvoerbaarheid voor bedrijven die in meerdere Europese landen actief zijn, is het belangrijk dat de implementatie van NIS2 zoveel mogelijk Europees geharmoniseerd wordt. Er lijken echter vrij significante verschillen te ontstaan in de manier waarop lidstaten NIS2 nationaal uitwerken. Sommige lidstaten vereisen bijvoorbeeld expliciet het toepassen van specifieke normen, waar Nederland voor een meer open benadering kiest. Holland Solar verwelkomt de benadering die Nederland kiest, en verzoekt het ministerie het belang van harmonisatie op Europees niveau zo veel mogelijk te bevorderen.’

Hulp
Ook pleit de organisatie voor ondersteuning van kleine bedrijven. Specifieke hulp en aansluiting bij bestaande overheidsprogramma’s zijn voor hen cruciaal. Daarnaast moeten ze voldoende tijd krijgen om te voldoen aan de nieuwe wetgeving en moet de regeldruk en implementatietijd te behappen zijn, want bepaalde onderdelen van de Cyberbeveiligingswet zijn nog niet volledig uitgewerkt.

Tot slot pleit Holland Solar voor samenhang met andere wetten. ‘Bedrijven doen hun risicoanalyse volgens een all-hazards approach. Om de regeldruk niet onnodig te verhogen, is het van groot belang dat de samenhang tussen beide trajecten wordt bewaakt. Dit betekent specifiek dat we graag 1 kanaal voor meldingen onder zowel de Cyberbeveiligingswet als de Wet weerbaarheid kritieke entiteiten (Wwke) zouden zien, en één toezichthouder voor beide wetten die een integrale audit kan doen.’