Europese Commissie daagt Nederland voor Tribunaal

Wederom zo’n D66-“we zijn zó pro-EU” verhaal en dan krijgen ze het nog niet voor elkaar om NIS2 gewoon op tijd in wetgeving te zetten, echt knap hoor… straks tikt het HvJ-EU een boete af van een paar ton per dag en mag de belastingbetaler weer dokken terwijl de consultants voor €180 per uur “roadmaps” maken. En ondertussen blijft de digitale rommel bij vitale sectoren liggen tot de volgende hack, maar hé wél mooie praatjes over transparantie.

Iedereen doet nu alsof dit “Brussel pest Nederland” is, maar dit is gewoon: je hebt zelf ja gezegd tegen NIS2 en dan lever je te laat, klaar. Ten eerste gaat het niet alleen om een wetje door de Kamer jassen, je moet ook een toezichthouder optuigen die kan handhaven en bedrijven in vitale ketens dwingt te melden en te fixen, en dáár zit NL altijd te slapen omdat niemand ruzie wil met KPN/ziekenhuizen/energieclubs. Ten tweede: als je straks wél haast maakt, krijg je weer zo’n haastwerk-implementatie met vage normen en “nadere regels bij AMvB”, en dan mag de rechter/Autoriteit Persoonsgegevens/Agentschap Telecom de rommel opruimen, maar ok, dan kunnen ministers later weer roepen dat “Europa” het heeft gedaan.

NIS2 te laat, tribunaal erbij, boetes in aantocht en straks fixen we het met een “tijdelijke” noodwet die 12 jaar blijft hangen terwijl de echte grap is dat de overheid zélf nog draait op Windows Server 2008 en een wachtwoordbeleid van “Welkom123”, maar goed als Brussel boos kijkt gaan we ineens doen alsof cybersecurity een prioriteit is.

Feit is dat NIS2 niet alleen een IT-feestje is, in de zorg hangen patiëntveiligheid en continuïteit er direct aan, als het EPD of de labkoppelingen plat gaan kun je ineens geen chemo, OK of spoedzorg fatsoenlijk draaien. En dan is zo’n EU-procedure nog het minst erge, de echte rekening is uitgestelde zorg en paniek op de werkvloer, maar dat zie je pas ná de volgende ransomware-ronde. Misschien moeten we eens stoppen met doen alsof dit Brussel is, en gewoon erkennen dat NL al jaren te weinig investeert in basisveiligheid en crisis-oefeningen.

Nou ja, wat mij altijd stoort, is dat ze dan pas in beweging komen als Brussel met een procedure wappert, terwijl die digitale ellende al jaren bij gemeenten en zorginstellingen op de vloer ligt, maar als je nú “even snel” NIS2 gaat optuigen krijg je weer zo’n papieren vinklijst en niemand die een zuster of baliemedewerker leert wat te doen bij een phishingmail, en dan zijn we zogenaamd “compliant” en toch weer de klos hoor, toch.

Het “tribunaal” is vooral het moment dat de EU ons eraan herinnert dat richtlijnen geen menukaart zijn maar een contract, en NL tekent graag voor het morele verhaal maar haakt af bij de saaie uitvoering. En ondertussen doen we alsof cybersecurity een technisch dingetje is, terwijl het inherent een bestuursvraag is: wie mag pijn doen, wie mag systemen stilleggen, wie durft een ziekenhuis of haven te dwingen tot investeringen die je niet op een lintje kunt knippen. Paradoxaal genoeg roepen we dat we een rechtsstaat zijn, maar pas als een rechter in Luxemburg zwaait met sancties gaan we ineens “principes” serieus nemen. wat zegt dit over ons dat we veiligheid pas belangrijk vinden als er een boete aan hangt, niet als er patiënten of waterleidingen aan hangen?

Ach in de haven merken we dat geouwehoer meteen hoor, één leverancier met brak beveiligde planningssoftware en je hele keten ligt plat, maar Den Haag denkt nog steeds dat het “iets van IT” is en geen keiharde continuïteit van werk en handel toch

dus we tekenen vrolijk in brussel en thuis lukt het niet eens om het op tijd in de wet te krijgen, maar als het misgaat gaat de rekening wél naar ons en niet naar de ambtenaren/ministers die dit laten liggen??? en wie draait er dan op voor die boetes én de extra controles, de mkb’er en de zorginstelling die al krap zit of weer “de burger” via belastingen?? en dan?? moet ik dat maar normaal vinden dat niemand persoonlijk ergens op afgerekend wordt?!?!

Dat “tribunaal!!” klinkt lekker dramatisch, maar dit is vooral het standaard EU-ritueel: te laat omzetten, briefje, nog een briefje, en dan Luxemburg. Kanttekening: NIS2 is zo’n richtlijn waar iedereen in Den Haag roept “ja doen we”, maar zodra het pijn gaat doen (wie wordt toezichthouder, wie betaalt, welke uitzonderingen voor semi-overheid/ketenpartners) gaan departementen en sectoren elkaar maandenlang aankijken tot de deadline al weg is. En dan krijg je straks weer een wet die op papier strak is, maar in uitvoering bij gemeenten/uitvoeringsclubs alsnog vastloopt omdat er simpelweg te weinig mensen zijn die dit kunnen handhaven.

Dat “tribunaal”-frame is vooral clickbait: dit is gewoon het HvJ-EU en dit soort inbreukprocedures is standaard als lidstaten deadlines missen. Wat ik mis in de discussie: NIS2 gaat óók over supply chain, dus niet alleen “de overheid” of “de vitale sector” maar juist al die kleine IT-beheerders/OT-leveranciers die nu ineens onder meldplicht en audits vallen… is NL daar überhaupt klaar voor, of gaan we straks weer doen alsof een ISO-certificaatje hetzelfde is als echte weerbaarheid? En als je ziet hoe vaak ransomware begint bij één extern account zonder MFA, dan is “Brussel bemoeit zich” echt een luxeprobleem.