Volgens het Europees Recht moeten richtlijnen zoals NIS2 binnen twee jaar worden omgezet naar nationaal recht, maar Nederland loopt hierin achter. Den Haag kan wellicht iets leren van de recent doorgevoerde last minute aanpassingen door het Duitse parlement. Over NIS2 is al veel gesproken op platforms zoals ITchannelPRO. Men is vaak bekend met de inhoud, maar de transitie van richtlijn naar wetgeving is minder onder de loep genomen. Voor een richtlijn moet nationale wetgeving gevormd worden, wat kan door bestaande wetten aan te passen of nieuwe wetgeving op te zetten, gevolgd door consultaties en adviezen.
In Duitsland zijn tijdens de parlementaire behandeling van NIS2 enkele relevante aanpassingen gedaan. Zo is de scope van NIS2 aangescherpt, waardoor toezichthouder BSI aanbieders van openbaar toegankelijke telecommunicatiediensten met 100.000 of minder klanten kan aanspreken. Deze uitbreiding toont aan dat ook kleinere aanbieders onder de wetgeving kunnen vallen, wat belangrijk is voor een versterkte beveiliging. Deze aanpak volgt het principe van “gelijke monniken, gelijke kappen”: alle aanbieders, ongeacht klantenaantal, vallen nu onder dezelfde regels als ze diensten als FttH, mobiel, koper of coax aanbieden.
Verder is in Duitsland aangescherpt dat onder NIS2 vallende entiteiten geen gebruik mogen maken van “kritieke componenten van een fabrikant”. Deze regel is cruciaal voor het beschermen van de infrastructuur, vooral met betrekking tot kleinere aanbieders, die nu ook niet uitgezonderd worden in de scope van deze maatregelen. Duitsland laat hiermee zien voortschrijdend inzicht te bezitten door snel in te spelen op potentiële risico’s, iets waar Nederland wellicht voordeel uit kan halen bij het implementeren van NIS2.
Lees het volledige artikel op de website van ITchannelPRO:
Duitsland wijzigt NIS2 op laatste moment.