NIS-2 heeft groen licht gekregen van Brussel en het is nu aan de lidstaten van de EU deze richtlijn om te zetten in nationale wetgeving. Geheel voorspelbaar komt nu de eerste kritiek die inhoudelijk zo de prullenbak in kan.
Boodschap
Op 16 januari meldde zich een Duitse koepel die zich schijnbaar inzet voor de belangen van industriële MKB bedrijven actief op de optische en medische markten. Een duidelijke doelgroep en een die heel erg veel baat moet hebben bij een hoger niveau van (cyber-) veiligheid.
Maar dat is niet de boodschap waarmee men de pers opzoekt. NIS-2 is welkom, maar het mag onder geen beding leiden tot hogere administratieve lasten, regeldruk en kosten. Het chronische tekort aan personeel wordt ook expliciet genoemd als reden bij de omzetting van NIS-2 naar Duits recht vooral geen haast te maken bescheiden doelen na te streven.
Illustratief
Dit soort persberichten illustreert in ieder geval waarom er zoveel cybersecurity incidenten (niet alleen in Duitsland) zijn. Delen van het bedrijfsleven denken echt dat het allemaal wel meevalt. Investeringen in personeel, kennis en techniek om de vijand buiten te houden hebben een te lage prioriteit. Alles dat de druk kan opvoeren, zoals wetgeving, is ongewenst.
Maar deze club ziet ook in dat NIS-2 binnen 21 maanden in het Duitse recht verankerd moet zijn. Dus naast de onverantwoorde pleidooien voor een zo licht mogelijke omzetting wordt ook onverholen voor steun vanuit Berlijn gepleit. Het achterban heeft het al zo moeilijk, dus Berlijn mag de portemonnee trekken.
Uitzonderingspositie
Dit geklaag is zeer voorspelbaar en zal ook bij andere “brancheorganisaties” in en buiten Duitsland te horen zijn. Daarbij is het voor iedereen die maar iets te maken heeft met veiligheid en kwaliteit duidelijk dat het vooral te makkelijke kritiek op de NIS-2 richtlijn betreft. Zolang het doel van dit soort organisaties is een uitzonderingspositie voor achterban te creëren zal die groep een bovengemiddeld makkelijk doelwit van cybercriminelen blijven.
Alright thanks. I am guessing I am just a bit early then. I also read local implementation documents will be released here in Sweden.