CER- en NIS2-richtlijnen

U kunt hier meer lezen over de inhoud van beide richtlijnen en wat dit kan betekenen voor uw organisatie.

Wet weerbaarheid kritieke entiteiten (Wwke) en Cyberbeveiligingswet (Cbw)

Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de CER- en NIS2-richtlijnen naar nationale wetgeving. In Nederland zal de CER-richtlijn geïmplementeerd worden in de vorm van de Wet weerbaarheid kritieke entiteiten (Wwke) en de NIS2-richtlijn in de vorm van de Cyberbeveiligingswet (Cbw). Dit is een omvangrijk en complex traject dat uiterste zorgvuldigheid vergt, juist ook omdat de impact voor Nederlandse organisaties groot is. Zo zullen er bijvoorbeeld ten opzichte van bestaande wetgeving meer sectoren en meer organisaties moeten voldoen aan de nieuwe wetgeving. Bovendien wordt er meer van betrokken sectoren en organisaties gevraagd. Voor zowel de fysieke (CER) en digitale (NIS2) weerbaarheid komt er een zorgplicht (tot nemen van beveiligingsmaatregelen) en een meldplicht (van incidenten). Deze plichten gaan gelden voor organisaties die een dienst verlenen die belangrijk, essentieel of kritiek is voor het functioneren van de maatschappij of economie.

Tussen 21 mei tot 2 juli 2024 konden burgers, bedrijven en instellingen via een internetconsultatie reageren op de wetsvoorstellen Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). De binnengekomen reacties zijn/worden bekeken en beoordeeld of, en hoe, de wetsvoorstellen dienen te worden aangepast. Deze feedback wordt verwerkt in een aparte paragraaf in de memorie van toelichting, die daarna samen met de wetsvoorstellen naar de Ministerraad en vervolgens naar de Raad van State wordt gestuurd voor advies.

Ondertussen werkt het Ministerie van Justitie en Veiligheid, samen met de andere betrokken departementen, aan de algemene maatregelen van bestuur voor de uitwerking van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Ook hierbij worden de reacties uit de internetconsultatie meegenomen.

Nadat de internetconsultatie voor de algemene maatregelen van bestuur is afgerond, worden de wetsvoorstellen en de algemene maatregelen van bestuur voorgelegd aan de Tweede Kamer voor parlementaire behandeling. Als vervolgens ook de Eerste Kamer instemt, is de verwachting dat beide wetten in het derde kwartaal van 2025 in werking treden. 

Wacht niet af, maar ga nu al aan de slag.

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving in werking is getreden. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Dit alles kan door de volgende maatregelen te nemen.

1. Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van uw organisatie kunnen verstoren.
2. Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s.
3. Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

U kunt hier meer informatie vinden over de wijze waarop uw organisatie deze maatregelen kan nemen.

De Rijksoverheid raadt elke organisatie aan deze maatregelen te nemen om de continuïteit van de bedrijfsprocessen (beter) te waarborgen. Het zijn voor een deel ook de maatregelen die als zorgplicht en meldplicht in de wetgeving worden opgenomen. Voor organisaties die straks moeten voldoen aan de komende wetgeving is het dan ook van belang vroegtijdig te beginnen met de voorbereidingen. Het kost immers tijd om deze maatregelen te implementeren.  

Moet mijn organisatie straks aan de nieuwe wetgeving voldoen?

Indien u wilt weten of uw organisatie aan de wetgeving moet voldoen, dan kunt u hier meer informatie vinden, waaronder een vragenlijst waarmee u zelf kunt evalueren of uw organisatie onder de NIS2-richtlijn valt.