Met de implementatie van de NIS2-richtlijn in Nederland via de Cyberbeveiligingswet ontstaat een nieuw en gelaagd cyberbeveiligingskader voor essentiële en belangrijke entiteiten. Tegelijkertijd heeft de Europese Commissie met Uitvoeringsverordening (EU) 2024/2690 rechtstreeks toepasselijke technische criteria vastgesteld voor een aantal digitale dienstverleners. Een belangrijke vraag die daarbij rijst is hoe deze Europese uitvoeringsverordening zich verhoudt tot nationale uitvoeringsregelgeving, zoals de Regeling cyberbeveiliging EZ. Dit is met name relevant voor organisaties die actief zijn in de digitale infrastructuursector. In deze blog bespreken wij de verhouding tussen beide regimes en de praktische gevolgen voor organisaties.
De Regeling cyberbeveiliging EZ is een ministeriële regeling gebaseerd op de Cyberbeveiligingswet en heeft een expliciet beperkte reikwijdte. De regeling is van toepassing op essentiële en belangrijke entiteiten die behoren tot de sector digitale infrastructuur, voor zover het betreft de volgende subsectoren:
Deze afbakening volgt rechtstreeks uit de tekst van de regeling zelf.
De regeling bevat onder meer nadere criteria voor significante incidenten, sectorspecifieke invulling van risicobeheermaatregelen en nadere uitwerking van meldverplichtingen voor deze subsectoren.
De regeling geldt dus niet voor alle digitale entiteiten die onder de Cyberbeveiligingswet vallen, maar slechts voor een specifieke subset daarvan.
Naast de nationale regeling geldt Uitvoeringsverordening (EU) 2024/2690. Deze verordening is rechtstreeks toepasselijk in alle lidstaten en stelt geharmoniseerde technische en operationele criteria vast voor significante incidenten en risicobeheermaatregelen.
De uitvoeringsverordening is van toepassing op specifieke categorieën digitale dienstverleners, waaronder:
Voor deze entiteiten gelden de criteria van de uitvoeringsverordening rechtstreeks en uniform in de gehele Europese Unie.
Een belangrijk aandachtspunt betreft de criteria voor significante incidenten.
Artikel 3 van Uitvoeringsverordening (EU) 2024/2690 bevat rechtstreeks toepasselijke en geharmoniseerde criteria, waaronder:
Artikel 7 van de Regeling cyberbeveiliging EZ bevat eveneens criteria voor significante incidenten, maar deze zijn sectorspecifiek geformuleerd en toegespitst op internetknooppunten en aanbieders van openbare elektronische communicatienetwerken en -diensten.
Deze verschillen zijn juridisch verklaarbaar omdat beide instrumenten een verschillende doelgroep hebben.
De Regeling cyberbeveiliging EZ en Uitvoeringsverordening (EU) 2024/2690 hebben grotendeels complementaire toepassingsgebieden.
De nationale regeling is gericht op:
De uitvoeringsverordening richt zich primair op andere categorieën digitale dienstverleners, zoals cloudproviders, DNS-dienstverleners en managed service providers.
Voor deze laatste categorieën geldt de uitvoeringsverordening rechtstreeks en is nationale regelgeving niet bepalend voor de geharmoniseerde criteria voor significante incidenten.
Indien een entiteit onder zowel nationale regelgeving als een rechtstreeks toepasselijke EU-verordening zou vallen, geldt het beginsel van voorrang van EU-recht.
Dit betekent dat:
De nationale regeling kan in dat geval wel aanvullende procedurele verplichtingen bevatten, bijvoorbeeld met betrekking tot meldprocedures of toezicht.
Voor organisaties in de digitale infrastructuursector is het van belang om vast te stellen onder welk juridisch regime zij vallen.
Een juiste kwalificatie van de organisatie en haar diensten is essentieel voor compliance.
De Regeling cyberbeveiliging EZ en Uitvoeringsverordening (EU) 2024/2690 maken deel uit van hetzelfde NIS2-implementatiekader, maar hebben verschillende en grotendeels complementaire toepassingsgebieden.
De nationale regeling is sectorspecifiek gericht op internetknooppunten en aanbieders van openbare elektronische communicatienetwerken en -diensten, terwijl de uitvoeringsverordening geharmoniseerde criteria vaststelt voor andere digitale dienstverleners, zoals cloudproviders en managed service providers.
Organisaties doen er verstandig aan hun kwalificatie onder de Cyberbeveiligingswet en toepasselijke EU-regelgeving zorgvuldig te analyseren, om te waarborgen dat zij voldoen aan de juiste meld- en beveiligingsverplichtingen.
Heeft u vragen over de toepasselijkheid van de Cyberbeveiligingswet, de Regeling cyberbeveiliging EZ of Uitvoeringsverordening (EU) 2024/2690 op uw organisatie? Ons team IT, Privacy & Cybersecurity adviseert organisaties over compliance, governance en incidentrespons binnen het NIS2-kader.
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief.
