NIS2 te laat - De gevolgen van het verbod op omgekeerde verticale werking

Dit keer over het verbod van omgekeerde verticale werking in relatie tot NIS2. Wat als het Nederland niet lukt om op uiterlijk 17 oktober 2024 de NIS2 niet omgezet te hebben in nationale wetgeving. Wat gaat een entiteit hiervan merken?

Europese richtlijnen hebben anders dan Europese Verordeningen geen directe werking (ex. art. 288 VWEU). Voordat een Europese richtlijn 'geldig' is, moet deze eerst omgezet worden in nationale wetgeving. Daarom ook dat de GDPR direct inging in 2016 (met implementatiemarge tot aan 2018) en dat NIS2 eerst omgezet moet worden.

De deadline voor het omzetten van NIS2 naar lokale wetgeving is 17 oktober 2024. De huidige status is dat de publieke internetconsultatie in februari 2024 (of althans in Q1) 2024 verwacht wordt. Na de start van de consultatie heeft eenieder 6 weken om zijn/haar reactie te delen. Na deze periode wordt deze input geëvalueerd en verwerkt in de lokale wet. Gemakshalve noem ik deze Wbni2. Tijdens de consultatie wordt de ontwerptekst van de Nederlandse omzetting bekend. Dan weet iedere belangrijke en essentiële entiteit wat de daadwerkelijke eisen en overwegingen zijn. Hoewel NIS2 uitgaat van minimumharmonisatie (een lidstaat mag alleen positief afwijken en dus strengere eisen stellen) is het handig om exact te weten wat de inhoud van Wbni2 is.

Maar wat als het volgende scenario zich afspeelt. Door vertraging van de publieke consultatie, verwerking en andere omstandigheden is het Nederland niet gelukt om uiterlijk 17 oktober de NIS2 omgezet te hebben in nationale wetgeving (goedgekeurd en bekrachtigd). Wat dan?

In NIS2 zijn de overwegingen en artikelen geadresseerd aan de lidstaten. NIS2 is dan ook gericht aan de lidstaten en niet naar burgers en rechtspersonen. De Europese Commissie kan richting Nederland een procedure starten. Dit heeft verder geen gevolgen voor entiteiten. Dit is een geschil tussen EU en lidstaat.

Maar wat gaat een entiteit dan merken van een niet of te late omzetting?

Binnen de EU is er een verbod op omgekeerde verticale werking. Dit betekent globaal dat wanneer een lidstaat niet, te laat of onvoldoende inspanning heeft verricht om een Europese richtlijn tijdig om te zetten dan mag een burger of rechtspersoon daar niet de dupe van worden. Het houden van toezicht op basis van NIS2 (of concept Wbni2) is bijvoorbeeld dan niet toegestaan. Het krijgen van een boete op basis van de NIS2 (of Wbni2) gaat mank.

Dat klinkt goed! Dit levert wat extra implementatietijd op om alles goed ingericht te hebben zonder vervelende, financiële gevolgen.

Dat klinkt zeker goed maar let op:

Een entiteit is nog steeds verplicht om te (gaan) voldoen aan NIS2 (en uiteindelijke Wbni2). Het stilleggen van implementatie-activiteiten is dan ook niet aan te raden;

Toezicht kan nog steeds gehouden worden vanuit andere geldende wet- en regelgeving. Houdt er rekening mee een toezichthouder wel handhavend kan optreden vanuit een andere wettelijke grondslag die gelijkenis vertoont met NIS2 (Wbni2). Denk aan bijv. AVG, Cyber Resilience Act en andere.

Een te late omzetting van NIS2 door Nederland schept wat lucht maar niet minder verantwoordelijkheden. Laat je hier niet te veel door afleiden en zorg dat de implementatie al gestart is. Wanneer de Nederlandse ontwerptekst gepubliceerd is, is het mogelijk de implementatie daarop aan te passen. Tot die tijd kunnen vanuit algemene opvattingen al mooie stappen gezet worden.