Simplificatie NIS2-richtlijn kan juist leiden tot meer complexiteit

In dit artikel:

Het kabinet waarschuwt dat de voorgestelde versoepeling van de NIS2-richtlijn en de herziening van de Europese Cybersecurity Act juist meer bureaucratie en complexiteit kunnen opleveren in plaats van minder. In antwoorden van minister David van Weel op Kamervragen maakt Nederland duidelijk dat certificering van ict-producten en -diensten nuttig kan zijn, maar niet mag uitgroeien tot een extra papieren laag die het echte toezicht vervangt. Toezichthouders moeten volgens Den Haag dus gewoon audits kunnen blijven uitvoeren en risicogebaseerd toezicht houden.

De discussie speelt in Brussel, waar de Europese Commissie werkt aan strengere en meer geharmoniseerde regels voor cyberveiligheid binnen de EU. Nederland vreest daarbij vooral dat lidstaten te weinig eigen beleidsruimte overhouden, dat bedrijven met dubbele verplichtingen te maken krijgen en dat de criteria om leveranciers of landen als ‘hoog risico’ aan te merken te vaag zijn. Vooral een brede aanwijzing van derde landen kan volgens het kabinet grote economische en geopolitieke gevolgen hebben.

Den Haag wil daarom dat certificering aansluit op concrete dreigingen, flexibel blijft en alleen wordt ingezet als die ook echt leidt tot minder toezichtslast. Ook moet er ruimte blijven voor strengere nationale eisen wanneer dat nodig is. De kern van de Nederlandse inzet: Europese cyberregels moeten helpen bij betere beveiliging, maar niet ontaarden in een star systeem dat audits, nationale controle en maatwerk ondermijnt.