Ingrijpende Last minute aanpassing NIS2 in Duitsland

In dit artikel:

In Nederland is de omzetting van de NIS2-richtlijn uitgesteld tot 2026, terwijl EU-regelgeving eigenlijk binnen twee jaar in nationaal recht moet worden omgezet. Door de val van het kabinet is de Nederlandse behandeling van wetsvoorstellen vastgelopen, hoewel de eerste consultaties al hebben plaatsgevonden. Daardoor ontbreekt vooralsnog een wettelijke basis die cybermaatregelen voor vitale en digitale diensten stevig verankert en objectieve toetsing mogelijk maakt.

In Duitsland heeft het parlement tijdens de laatste behandeling van de implementatiewet belangrijke aanpassingen doorgevoerd die als voorbeeld kunnen dienen voor Den Haag. Toezichthouder BSI krijgt op verzoek van het parlement de bevoegdheid om ook aanbieders van openbaar toegankelijke telecommunicatiediensten met 100.000 of minder klanten te bestraffen en opdrachten te geven. Daarmee vallen nu ook regionale, kleinere aanbieders onder NIS2-toezicht: het aantal klanten of het gebruikte medium (FTTH, mobiel, koper, coax) maakt niet langer uit. Politici betrekken zo kleinschalige providers bij de weerbaarheid tegen aanvallen en het risico dat zij als stepping-stone worden misbruikt.

Daarnaast is in Duitsland een verbod aangescherpt op het gebruik van “kritieke componenten van bepaalde fabrikanten” door onder NIS2 vallende entiteiten — bedoeld om afhankelijkheid van onbetrouwbare leveranciers te beperken. Deze maatregel geldt eveneens voor de kleinere aanbieders.

Kortom: Nederland loopt achter met implementatie, terwijl de Duitse praktijk laat zien dat parlementaire last-minute wijzigingen de reikwijdte en handhavingsmogelijkheden flink kunnen veranderen. Voor de Nederlandse telecom- en digitale sector betekent dat grotere juridische duidelijkheid en mogelijk strengere eisen, ook voor regionale spelers.