De wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten zijn op 4 juni 2025 bij de Tweede Kamer ingediend. Met de wetsvoorstellen worden twee Europese richtlijnen in nationale wetgeving omgezet: de zogeheten NIS2-richtlijn (over cyberbeveiliging) en de zogeheten CER-richtlijn (over de weerbaarheid van kritieke entiteiten).
Bekijk de de wetsvoorstellen en bijbehorende stukken:
Inwerkingtreding
De Afdeling advisering van de Raad van State heeft in februari 2025 advies uitgebracht over beide wetsvoorstellen. Deze adviezen zijn verwerkt en nu zijn de wetsvoorstellen naar de Tweede Kamer gestuurd. Na de behandeling van de wetsvoorstellen door de Tweede Kamer volgt, als de wetsvoorstellen worden aangenomen door de Tweede Kamer, nog de behandeling daarvan door de Eerste Kamer. De regering streeft ernaar dat de wetsvoorstellen het tweede kwartaal van 2026 in werking treden.
Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn. Met betrekking tot de Cyberbeveiligingswet hebben organisaties al wel in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen uit de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer security incident response team (CSIRT).
De onderliggende regelgeving
Algemene maatregelen van bestuur (amvb’s)
De concepten van het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten zijn tussen 20 februari 2025 en 30 maart 2025 geconsulteerd. In de amvb’s worden diverse onderwerpen uit deze wetten, zoals de zorgplicht, nader uitgewerkt. De binnengekomen consultatiereacties zijn beoordeeld, waarbij een aantal reacties heeft geleid tot aanpassing van de algemene maatregelen van bestuur (amvb’s) of een nadere verduidelijking in de bijbehorende nota’s van toelichting. In een aparte paragraaf van die nota’s van toelichting is terug te lezen hoe de consultatiereacties zijn verwerkt. De aangepaste amvb’s en de bijbehorende nota’s van toelichting zijn hier in te zien: Concepten Cyberbeveiligingsbesluit en Besluit weerbaarheid kritieke entiteiten | Tweede Kamer der Staten-Generaal.
In juni 2025 zijn de wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten ingediend bij de Tweede Kamer en zijn de concepten van de onderliggende amvb’s ter informatie aangeboden aan de Tweede Kamer. In de verslagen op de wetsvoorstellen zijn vanuit de Tweede Kamer vragen gesteld over de wetsvoorstellen en de amvb’s. Die vragen zijn door de regering beantwoord in de nota naar aanleiding van het verslag. De nota’s zijn hier in te zien:
- Aanbiedingsbrief bij nota naar aanleiding van het verslag op het wetsvoorstel Wet weerbaarheid kritieke entiteiten
- Tweede Kamer nota naar aanleiding van het verslag op het wetsvoorstel Cyberbeveiligingswet
Zo snel mogelijk na de afloop van de behandeling van de wetsvoorstellen door de Tweede Kamer zullen de amvb’s, na akkoord van de ministerraad, voor advies worden voorgelegd aan de Afdeling advisering van de Raad van de State. Het is de bedoeling dat de amvb’s tegelijk met de wetsvoorstellen in werking treden.
Ministeriële regelingen
Daarnaast wordt door elk departement gewerkt aan ministeriële regelingen. De ministeriële regelingen vormen de nadere uitwerking van de Cyberbeveiligingswet, en het Cyberbeveiligingsbesluit. Waar de wetten en amvb’s de hoofdlijnen en algemene verplichtingen vastleggen, bevatten de ministeriële regelingen juist de meer gedetailleerde, sectorspecifieke bepalingen. De meeste departementen zullen een eigen ministeriële regeling opstellen voor de sectoren waarvoor zij verantwoordelijk zijn. Een belangrijk onderdeel van deze regelingen is de uitwerking van de meldplicht voor incidenten in de vorm van drempelwaarden die bepalen in welke gevallen een melding verplicht is.
Zes ministeries - de ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK), Infrastructuur en Waterstaat (I&W), Economische Zaken (EZ), Klimaat en Groene Groei (KGG), Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN) en Volksgezondheid, Welzijn en Sport (VWS) – hebben hun concept-regelingen onder de Cyberbeveiligingswet geconsulteerd. Het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) zal haar ministeriële regeling op een later moment aanbieden. De internetconsultatie van de ministeriële regelingen loopt van 10 november tot en met 21 december 2025. Na afloop van de consultatieperiode worden alle reacties per departement bekeken en waar nodig verwerkt.
Wacht niet af, bereid je voor
De Rijksoverheid roept organisaties op om zich voor te bereiden op inwerkingtreding van de wetten en de onderliggende regelgeving. De risico’s die organisaties lopen, doen zich immers nu al voor. Bekijk meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van deze wetten.