Wetsvoorstellen in ontwikkeling

De wetsvoorstellen en bijbehorende stukken zijn te vinden op de website van de Tweede Kamer:

• Wetsvoorstel Cyberbeveiligingswet
• Wetsvoorstel Wet weerbaarheid kritieke entiteiten

Inwerkingtreding

De Afdeling advisering van de Raad van State heeft in februari 2025 advies uitgebracht over beide wetsvoorstellen. Deze adviezen zijn verwerkt en nu zijn de wetsvoorstellen naar de Tweede Kamer gestuurd. Na de behandeling van de wetsvoorstellen door de Tweede Kamer volgt, als de wetsvoorstellen worden aangenomen door de Tweede Kamer, nog de behandeling daarvan door de Eerste Kamer. De regering streeft ernaar dat de wetsvoorstellen het tweede kwartaal van 2026 in werking treden.

Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn. Met betrekking tot de Cyberbeveiligingswet hebben organisaties al wel in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen uit de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer security incident response team (CSIRT). 

De onderliggende regelgeving

Algemene maatregelen van bestuur (amvb’s)
De concepten van het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten zijn tussen 20 februari 2025 en 30 maart 2025 geconsulteerd. In de amvb’s worden diverse onderwerpen uit deze wetten, zoals de zorgplicht, nader uitgewerkt. De binnengekomen consultatiereacties zijn beoordeeld, waarbij een aantal reacties heeft geleid tot aanpassing van de algemene maatregelen van bestuur (amvb’s) of een nadere verduidelijking in de bijbehorende nota’s van toelichting. In een aparte paragraaf van die nota’s van toelichting is terug te lezen hoe de consultatiereacties zijn verwerkt. De aangepaste amvb’s en de bijbehorende nota’s van toelichting zijn hier in te zien: Concepten Cyberbeveiligingsbesluit en Besluit weerbaarheid kritieke entiteiten | Tweede Kamer der Staten-Generaal.

Op 30 juni 2025 zijn de concepten van de amvb’s behorende bij de wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten gestuurd naar de Tweede Kamer, zodat de Tweede Kamer deze kan betrekken bij de behandeling van de wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten. Zo snel mogelijk na de afloop van de behandeling van de wetsvoorstellen door de Tweede Kamer zullen de amvb’s, na akkoord van de ministerraad, voor advies worden voorgelegd aan de Afdeling advisering van de Raad van de State. Het is de bedoeling dat de amvb’s tegelijk met de wetsvoorstellen in werking treden.

Ministeriële regelingen
Daarnaast wordt door elk departement gewerkt aan ministeriële regelingen. Daarin worden sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van incidenten. Sommige departementen (de ministeries van Economische Zaken, van Infrastructuur en Waterstaat, van Klimaat en Groene Groei en van Landbouw, Visserij, Voedselzekerheid en Natuur) hebben al een gedeelte van die regelingen, specifiek over de zorgplicht, reeds in internetconsultatie gebracht. Voor de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Volksgezondheid, Welzijn en Sport geldt dat de uitwerking van de zorgplicht uit de Cyberbeveiligingswet voor het overgrote deel in lijn is met bestaande normenkaders voor cyberbeveiliging in de sectoren overheid en gezondheidszorg. Voor de overheid gaat dit om de Baseline Informatiebeveiliging Overheid (BIO)2. Voor de zorg gaat het om de NEN7510 en ISO27001.

Wacht niet af, bereid je voor

De Rijksoverheid roept organisaties op om zich voor te bereiden op inwerkingtreding van de wetten en de onderliggende regelgeving. De risico’s die organisaties lopen, doen zich immers nu al voor. Bekijk meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van deze wetten.