Deze titel suggereert wellicht een afkeer van EU-bureaucratie en bemoeizucht, maar het tegendeel is het geval. Dit blog is een hartenkreet van mij aan alle overheden en bedrijven in Nederland: verzet je tegen je bedrieglijke brein en stap tijdig op de Europese regeltrein.
Het doet me goed mijn blog voor iBestuur weer op te pakken. Vanwege de drukte rondom mijn boek ‘De democratie crasht’ heb ik januari even overgeslagen maar nu is het tijd om de pen weer ter hand te nemen. Want ik wil het met u hebben over de Europese regeltrein.
Ik ben blij dat Nederland lid is van de Europese Unie en ik ben blij dat de Europese Commissie zich inzet om de grote en grensoverschrijdende vraagstukken in goede banen te leiden. Hierbij denk ik aan geopolitieke kwesties, handelsverdragen, de klimaataanpak, de energietransitie en de huisvesting van vluchtelingen. En uiteraard denk ik hierbij aan digitalisering.
Europese vuist maken
Want in een wereld waarin Amerikaanse technologiebedrijven machtiger zijn dan menig overheid en in een wereld waarin landen als China en Rusland het westen voortdurend aanvallen met cyberwapens, is het hard nodig een Europese vuist te maken. Niet alleen omdat ieder land, elk bedrijf en alle burgers te maken krijgen met digitale aanvallen maar ook omdat de onderliggende fysieke internetinfrastructuur –bestaande uit zeekabels, internetknooppunten, datacenters en glasvezelnetwerken- cruciaal is voor ons dagelijks leven. Energiecentrales, elektriciteitsnetwerken, verkeerssystemen, ziekenhuizen en het hele betalingsverkeer zijn immers allemaal verbonden met het internet.
Om dit samenhangende systeem te beschermen produceert de Europese Unie – onder de noemer ‘A Europe fit for the digital age’ – in hoog tempo regels op het gebied van cybersecurity. Hierbij kunt u onder meer denken aan de Cyber Security Act (voor één Europees certificeringsraamwerk), de Cyber Resilience Act (voor collectieve EU-veiligheidseisen) en de Digital Operation Resilience Act (voor veilig digitaal betalingsverkeer). Maar op dit moment het meest concreet is de tweede Network and Information Systems directive, oftewel: NIS2. Deze Europese richtlijn draait om een zorgplicht voor de bedrijfsinfrastructuur plus een meldplicht bij cyberincidenten. Belangrijke veranderingen ten opzichte van de huidige NIS1 zijn de uitbreiding van het aantal vitale sectoren (waaronder service providers) en een strenger toezicht op de governance, met hogere boetes bij onvoldoende naleving. In Nederland betekent dit dat zo’n 6.000 nieuwe bedrijven onder de NIS2 gaan vallen en dat de huidige NIS1-bedrijven hun huiswerk opnieuw zullen moeten doen.
Menigeen steekt zijn kop in het zand en hoopt dat het allemaal niet zo’n vaart zal lopen.
U ziet het, de Europese regeltrein is geen kinderachtig treintje met een paar wagonnetjes. Het is een lange trein met grote impact. Bovendien voert Europa de druk op en is het bijvoorbeeld de bedoeling dat NIS2 nog dit jaar wordt omgezet naar nationale wetgeving. We hebben het dus niet over een slome boemeltrein maar over een doordenderende goederentrein. De stoompluimen van de locomotief lijken nu nog ver weg maar vergis u niet: voor u het weet raast hij u voorbij.
Het zou dus logisch zijn als de meeste overheden en bedrijven tijdig beginnen met de voorbereidingen op het NIS2-tijdperk. Maar helaas, het tegendeel is het geval. Wat een aantal jaar geleden gebeurde met de Algemene Verordening Gegevensbescherming (de Europese privacywet AVG) lijkt bij de NIS2-richtlijn opnieuw te gaan gebeuren: menigeen steekt zijn kop in het zand en hoopt dat het allemaal niet zo’n vaart zal lopen. Deze valkuil der onderschatting wordt nog versterkt doordat digitalisering weinig tastbaar is en cyberdreigingen relatief abstract zijn. Waardoor we te optimistisch zijn en denken dat het ons niet zal overkomen. Deze dat-gebeurt-mij-niet-denkfout maakt dat we te passief zijn in het reageren op risico’s.
In ‘De democratie crasht’ ga ik uitgebreider in op Europese regelgeving die ons nadert en de wijze waarop technologie en psychologie op elkaar inspelen. In dit blog beperk ik me tot een hartenkreet aan alle overheden en bedrijven in Nederland: verzet je tegen je bedrieglijke brein en stap tijdig op de Europese regeltrein.
Kees Verhoeven is eigenaar Bureau Digitale Zaken, adviseur Digitale Transformatie bij Dutch Data Center Association (DDA), kernteamlid van de Online Trust Coalitie (OTC), voorzitter van de RvA van KNVI en voormalig lid Tweede Kamer voor D66. In januari kwam zijn boek ‘De democratie crasht’ uit.
