Tweede Kamer stemt in met wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten

Cyberbeveiligingswet

Om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Europese Unie te realiseren, heeft de Europese Unie de NIS2-richtlijn vastgesteld. Deze richtlijn wordt in Nederland geïmplementeerd in de Cyberbeveiligingswet. De Cyberbeveiligingswet draagt bij aan het verhogen van de digitale weerbaarheid van bedrijven en andere organisaties in Nederland en het in stand houden van maatschappelijk en economisch belangrijke functies en activiteiten. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).

Organisaties moeten zelf checken of ze onder deze wet vallen. Zodra de wet ingaat, moeten zij voldoen aan de verplichtingen die daarbij horen, zoals de zorgplicht, meldplicht en registratieplicht. De Rijksoverheid adviseert deze organisaties dan ook om niet af te wachten totdat de Cyberbeveiligingswet in werking treedt, maar om nu al aan de slag te gaan. De risico’s die organisaties met betrekking tot hun netwerk- en informatiesystemen lopen, zijn er immers nu ook al. Organisaties die nu in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.

Weerbaarheid kritieke entiteiten

Om de weerbaarheid van Europese lidstaten te versterken heeft de Europese Unie eind 2022 de CER-richtlijn aangenomen. Het doel daarvan is om de vitale infrastructuur en economische activiteiten in Europa zo goed mogelijk te beschermen tegen allerlei soorten dreigingen, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. In Nederland wordt de CER-richtlijn geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. De Wet weerbaarheid kritieke entiteiten heeft als doel om de weerbaarheid te verhogen van organisaties die essentiële diensten verlenen in Nederland.

Organisaties bepalen niet zelf of ze onder de Wet weerbaarheid kritieke entiteiten vallen. De verantwoordelijke vakminister zal aan de hand van wettelijke criteria de organisaties aanwijzen die onder de wet vallen. Lees hier meer informatie over deze wet.

Vervolg

Nu de Tweede Kamer de wetsvoorstellen heeft aangenomen, volgt de behandeling van de wetsvoorstellen door de Eerste Kamer. Naar verwachting wordt eerst op beide wetsvoorstellen een verslag uitgebracht, waarna de regering daarop reageert met een nota naar aanleiding van het verslag. Daarna vindt naar verwachting een plenaire behandeling plaats. De Eerste Kamer beslist over alle vervolgstappen en de planning daarvan. Nadat ook de Eerste Kamer de wetsvoorstellen heeft aangenomen, is de parlementaire behandeling van de wetsvoorstellen afgerond.

Uitwerking in lagere regelgeving

Parallel aan het parlementaire traject wordt gewerkt aan de onderliggende regelgeving. Binnenkort worden de adviezen van de Afdeling advisering van de Raad van State verwacht over de algemene maatregelen van bestuur (amvb’s) onder de wetten. Dat zijn het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten. Op die adviezen stelt de regering nadere rapporten op. Daarna volgt de inwerkingtreding van de amvb’s.

Daarnaast zijn ook de ministeriële regelingen in voorbereiding. De ministeriële regelingen bevatten een gedetailleerde en vaak sectorspecifieke uitwerking van de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten, het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten.

Planning inwerkingtreding

De regering streeft ernaar om de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten en de bijbehorende lagere regelgeving gelijktijdig in het tweede kwartaal van 2026 in werking te laten treden. Of deze planning wordt gehaald, is afhankelijk van de voortgang van de parlementaire behandeling.