Wetsvoorstellen in ontwikkeling
De wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten zijn op 4 juni 2025 bij de Tweede Kamer ingediend. Met de wetsvoorstellen worden twee Europese richtlijnen in nationale wetgeving omgezet: de zogeheten NIS2-richtlijn (over cyberbeveiliging) en de zogeheten CER-richtlijn (over de weerbaarheid van kritieke entiteiten).
De wetsvoorstellen en bijbehorende stukken zijn te vinden op de website van de Tweede Kamer:
Inwerkingtreding
De Afdeling advisering van de Raad van State heeft in februari 2025 advies uitgebracht over beide wetsvoorstellen. Deze adviezen zijn verwerkt en nu zijn de wetsvoorstellen naar de Tweede Kamer gestuurd. Na de behandeling van de wetsvoorstellen door de Tweede Kamer volgt, als de wetsvoorstellen worden aangenomen door de Tweede Kamer, nog de behandeling daarvan door de Eerste Kamer.
Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn. Met betrekking tot de Cyberbeveiligingswet hebben organisaties al wel in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen uit de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer security incident response team (CSIRT).
De onderliggende regelgeving
Van 20 februari tot 30 maart 2025 heeft een internetconsultatie van de concept-algemene maatregelen van bestuur (amvb’s) behorende bij de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten plaatsgevonden. Het gaat om het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten.
Daarnaast wordt door elk departement gewerkt aan ministeriële regelingen. Daarin worden sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van incidenten. Sommige departementen (de ministeries van Economische Zaken, van Infrastructuur en Waterstaat, van Klimaat en Groene Groei en van Landbouw, Visserij, Voedselzekerheid en Natuur) hebben al een gedeelte van die regelingen, specifiek over de zorgplicht, reeds in internetconsultatie gebracht. Voor de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Volksgezondheid, Welzijn en Sport geldt dat de uitwerking van de zorgplicht uit de Cyberbeveiligingswet voor het overgrote deel in lijn is met bestaande normenkaders voor cyberbeveiliging in de sectoren overheid en gezondheidszorg. Voor de overheid gaat dit om de Baseline Informatiebeveiliging Overheid (BIO)2. Voor de zorg gaat het om de NEN7510 en ISO27001.
Wacht niet af, bereid je voor
De Rijksoverheid roept organisaties op om zich voor te bereiden op inwerkingtreding van de wetten en de onderliggende regelgeving. De risico’s die organisaties lopen, doen zich immers nu al voor. Bekijk meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van deze wetten.
