Wetstrajecten | Nationaal Coördinator Terrorismebestrijding en Veiligheid

De Tweede Kamer heeft woensdag 15 april 2026 de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen. Met de wetsvoorstellen worden twee Europese richtlijnen in nationale wetgeving omgezet: de zogeheten NIS2-richtlijn (over cyberbeveiliging) en de zogeheten CER-richtlijn (over de weerbaarheid van kritieke entiteiten).

Bekijk de wetsvoorstellen en bijbehorende stukken:

Twee wetsvoorstellen

Nu de Tweede Kamer de wetsvoorstellen heeft aangenomen, volgt de behandeling van de wetsvoorstellen door de Eerste Kamer. Naar verwachting wordt eerst op beide wetsvoorstellen een verslag uitgebracht, waarna de regering daarop reageert met een nota naar aanleiding van het verslag. Daarna vindt naar verwachting een plenaire behandeling plaats. De Eerste Kamer beslist over alle vervolgstappen en de planning daarvan. Nadat ook de Eerste Kamer de wetsvoorstellen heeft aangenomen, is de parlementaire behandeling van de wetsvoorstellen afgerond.

Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn. Met betrekking tot de Cyberbeveiligingswet hebben organisaties al wel in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen uit de NIS2-richtlijn. Denk hierbij bijvoorbeeld aan het ontvangen van bijstand bij een incident door een Computer security incident response team (CSIRT).

De onderliggende regelgeving

Algemene maatregelen van bestuur (amvb’s)

De concepten van het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten zijn tussen 20 februari 2025 en 30 maart 2025 geconsulteerd. In de amvb’s worden diverse onderwerpen uit deze wetten, zoals de zorgplicht, nader uitgewerkt. De binnengekomen consultatiereacties zijn beoordeeld, waarbij een aantal reacties heeft geleid tot aanpassing van de algemene maatregelen van bestuur (amvb’s) of een nadere verduidelijking in de bijbehorende nota’s van toelichting. In een aparte paragraaf van die nota’s van toelichting is terug te lezen hoe de consultatiereacties zijn verwerkt. De aangepaste amvb’s en de bijbehorende nota’s van toelichting zijn hier in te zien: Concepten Cyberbeveiligingsbesluit en Besluit weerbaarheid kritieke entiteiten | Tweede Kamer der Staten-Generaal.

Op vrijdag 5 december 2025 zijn de concepten van de algemene maatregelen van bestuur (amvb’s) behorende bij de wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten naar de Afdeling advisering van de Raad van State gestuurd voor advies. De amvb’s zijn beschikbaar op de website wetgevingskalender.overheid.nl: concept van het Cyberbeveiligingsbesluit (pdf-document) en het concept van het Besluit weerbaarheid kritieke entiteiten (pdf-document). Nadat de Afdeling advies heeft uitgebracht, brengt de regering per advies een nader rapport uit met een reactie op dat advies. Het is de bedoeling dat de amvb’s tegelijk met de wetsvoorstellen in werking treden.

Ministeriële regelingen

Daarnaast wordt door elk departement gewerkt aan ministeriële regelingen. Daarin worden sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van incidenten. Sommige departementen (de ministeries van Economische Zaken, van Infrastructuur en Waterstaat, van Klimaat en Groene Groei en van Landbouw, Visserij, Voedselzekerheid en Natuur) hebben al een gedeelte van die regelingen, specifiek over de zorgplicht, reeds in internetconsultatie gebracht. Op 23 april heeft het ministerie van Volksgezondheid, Welzijn en Sport de internetconsultatie gestart van de Regeling wet weerbaarheid kritieke entiteiten.

Voor het ministerie van Binnenlandse Zaken en Koninkrijksrelaties geldt dat de uitwerking van de zorgplicht uit de Cyberbeveiligingswet voor het overgrote deel in lijn is met het bestaande normenkader voor cyberbeveiliging in de sector overheid. Voor de overheid gaat dit om de Baseline Informatiebeveiliging Overheid (BIO)2.

Situatie vanaf 17 oktober

De CER-richtlijn is sinds 17 oktober 2024 geldig in de Europese Unie. In Nederland is het omzetten van de EU-richtlijn naar nationale wetgeving vertraagd wegens de grote complexiteit die dit proces met zich meebrengt. De regering streeft ernaar dat de Wet weerbaarheid kritieke entiteiten in het tweede kwartaal van 2026 in werking treedt.

In de periode tot de Wet weerbaarheid kritieke entiteiten in werking treedt gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn. Deze verplichtingen gelden pas als de Wet weerbaarheid kritieke entiteiten in werking treedt en een organisatie wordt aangewezen als kritieke entiteit. Na deze aanwijzing heeft een kritieke entiteit 10 maanden de tijd om bijvoorbeeld te voldoen aan de zorgplicht en de meldplicht uit deze wet.

Meer informatie

Zie voor meer informatie het ingediende wetsvoorstel voor de Wet weerbaarheid kritieke entiteiten en het concept van de algemene maatregel van bestuur.