Het kabinet krijgt maximaal 21 maanden de tijd om de Europese regels om te zetten naar nationale wetgeving. Het ministerie van Economische Zaken verwacht dat ongeveer vijfduizend bedrijven en instellingen in Nederland hiermee te maken krijgen. De nieuwe EU-richtlijn heeft nog een primeur: voor het eerst kan een ceo hoofdelijk aansprakelijk worden gesteld.
De richtlijn verplicht bedrijven ook om kennis te delen over dreigingen en incidenten. “Dat is een goede ontwikkeling. Door dergelijke informatie met elkaar te delen, kunnen we ervan leren,” aldus Tugçe Serinkan, beleidsadviseur bij het Verbond. “Bedrijven die slachtoffer zijn van een ransomware-aanval, delen niet graag informatie over de aanval. Terwijl we deze informatie goed kunnen gebruiken om preventie te stimuleren en verzekeraars op basis ervan hun polissen dan verder kunnen verbeteren.” Juist cyberverzekeringen kunnen een belangrijke rol spelen in het voorkomen van incidenten, omdat verzekeraars eisen stellen aan de beveiliging van een bedrijf, hun klant.