Het is onduidelijk of de uitwerking van de Europese regels over cyberbeveiliging en weerbaarheid kritieke entiteiten energiesector werkbaar zijn ondernemers. Ook zijn de regeldrukeffecten niet in beeld per sector, waardoor het onduidelijk is wat de impact is van de zorg- en meldplicht onder de wet. Daarom is het raadzaam om na een jaar een uitvoeringstoets uit te voeren, om zo knelpunten te adresseren. Dat schrijft ATR in een advies aan de minister van Klimaat en Groen en Groei (KGG).
Context
Nederland dient onder andere de Europese richtlijn Network and Information Security Directive (NIS2-richtlijn) te implementeren. Deze richtlijn introduceert maatregelen om de digitale veiligheid van belangrijke systemen te vergroten. Essentiële en belangrijke entiteiten dienen maatregelen te nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. Verplichtingen omvatten onder meer een zorgplicht en een meldplicht.
Onduidelijk hoeveel bedrijven onder de reikwijdte vallen
De zorg- en meldplicht is van toepassing voor organisaties in elektriciteit, stadsverwarming- en koeling, aardolie, aardgas en waterstof. Het is onduidelijk om hoeveel bedrijven dit daadwerkelijk zal gaan, waarbij het ook mogelijk kan zijn dat bedrijven onder verschillende sectoren vallen. Het is daarmee niet ondenkbaar dat bedrijven onder regimes van verschillende regelingen vallen.
Werkbaarheid en regeldruk
Het college adviseert om per sector toe te lichten hoe zij de regeling moeten uitvoeren en navenant ook de regeldruk uit te splitsen. ATR adviseert na een jaar een invoeringstoets te doen zodat tijdig kan worden bepaald of de invulling van de zorgplicht en criteria voor significante incidenten en de meldplicht passend en werkbaar zijn voor de sector of bijsturing behoeft.