De NIS2 zorgt voor veel uitdagingen voor ondernemers en bedrijven. Maar er komen nog veel meer cyberwetten en regels aan.
De inwerkingtreding van NIS2, een belangrijke EU-richtlijn voor netwerk- en informatiebeveiliging, werd op 16 januari van kracht. De EU-lidstaten, waaronder Nederland met zijn Wet beveiliging netwerk- en informatiesystemen (Wbni), hebben tot 17 oktober 2024 om deze richtlijn in hun nationale wetgeving op te nemen. Hoewel er nog tijd is voor implementatie, wordt de situatie vergeleken met de invoering van de GDPR (Algemene Verordening Gegevensbescherming, AVG in Nederland), wat aangeeft dat er een complex en langdurig proces wacht vol onwetendheid, misinterpretaties en de noodzaak van gedegen handhaving.
Code-Tabaksblat… en meer
ICT-jurist Arnoud Engelfriet van ICTRecht, signaleert dat naast NIS2 nog andere EU-regels in de pijplijn zitten, zoals de Digital Services Act (DSA) en de Digital Markets Act (DMA), die allemaal bijdragen aan een toename van de regelgeving op het gebied van technologie. Dit leidt tot discussies over de juiste terminologie voor het rechtsgebied dat deze technologie reguleert, met termen als technologierecht, ICT-recht, cyberlaw, en andere variaties die in omloop zijn.
De vernieuwde Nederlandse Corporate Governance Code, ook wel bekend als Code-Tabaksblat, eist nu van bestuurders dat zij de IT van hun organisatie goed beheren en IT-risico’s adequaat inschatten, anders riskeren zij aanzienlijke boetes. Dit is al van toepassing op beursgenoteerde bedrijven en wordt als advies sterk aanbevolen voor grote ondernemingen.
Op EU-niveau is er een streven om grote techbedrijven met veel marktdominantie aan te pakken. De DSA en DMA richten zich op het verbeteren van de digitale dienstverlening en het reguleren van het gedrag van zowel grote als kleinere techplatformen. Dit omvat niet alleen Amerikaanse techgiganten, maar ook kleinere online dienstverleners. Daarnaast worden er nieuwe regels voorbereid zoals de Data Governance Act (DGA) en de Data Act, die gericht zijn op het stimuleren van data(her)gebruik, terwijl ook de privacy gewaarborgd blijft.
Andere regelgeving in aantocht omvat de Medical Device Regulation (MDR), die van toepassing kan zijn op software gebruikt in medische omgevingen, en de Cyber Resilience Act (CRA), die strengere eisen stelt aan IoT-apparaten.
Een EU-aanpak die strengere reguleringen en richtlijnen vereist
Al deze ontwikkelingen wijzen op een Europese reactie op de realiteit dat boetes alleen niet langer afschrikken, waarbij techreuzen geneigd zijn deze te zien als operationele kosten. Dit heeft geleid tot een EU-aanpak die strengere reguleringen en richtlijnen vereist, waarbij bedrijven gedwongen worden om hun strategieën aan te passen en te zorgen voor compliance. Deze complexe regelgeving vereist diepgaande analyse en aanpassing door juristen om bedrijven te begeleiden in een steeds veranderend technologisch en wettelijk landschap.
(Bron: AG Connect)