De nieuwe internetconsultatie voor de uitwerkingen van het Cyberbeveiligingswet (Cbw) en de daaraangekoppelde Wet weerbaarheid kritieke entiteiten (Wwke) is opengesteld. Reageren kan tot eind maart.
De Cbw en Wwke zijn de omzettingen in nationale wetgeving van twee Europese richtlijnen: de Network and Information Security Directive (NIS2) en de Critical Entities Resilience Directive (CER).
Vorig jaar vond er ook al een internetconsultatie plaats. Die leverde veel feedback en kritiek op. De Nederlandse uitwerking van NIS2 zou vaag en weinig concreet zijn. Inmiddels is er weer een nieuwe inspraakronde geopend. Via de site Internetconsultatie kan iedereen reageren op het concept Cyberbeveiligingsbesluit en het concept Besluit weerbaarheid kritieke entiteiten. Hierin worden onderwerpen uit deze wetten uitgewerkt, zoals de zorgplicht, registratieplicht en opleidingsplicht voor bestuurders. Het doel van de consultatie is om belanghebbenden te betrekken bij de totstandkoming van deze uitwerkingen. Reageren kan tot en met 30 maart as. Na afloop worden alle reacties bekeken en waar nodig verwerkt in de uitwerkingen (zogeheten amvb’s: algemene maatregelen van bestuur).
Ministeriële regelingen en wetsvoorstellen
Momenteel maakt elk departement een nadere uitwerking van de twee wetten in de vorm van een ministeriële regeling. Daarin worden sectorspecifieke bepalingen opgenomen. Zoals de drempelwaarden voor het melden van een incident of de verdere invulling voor de zorgplicht. Voor de overheid vormt de Baseline Informatiebeveiliging Overheid (BIO) 2 een groot deel van de invulling van de zorgplicht voor deze ministeriële regeling.
Naar verwachting worden de wetsvoorstellen van de Cbw en Wwke in het eerste kwartaal van 2025 ingediend bij de Tweede Kamer. Het streven is dat beide wetsvoorstellen én beide amvb’s in het derde kwartaal van 2025 in werking treden. Dat is wel afhankelijk van de voortgang van behandeling van de wetsvoorstellen in beide Kamers.
NIS2
De NIS2-richtlijn wordt in Nederland opgenomen in de Cyberbeveiligingswet die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen. De NIS2-richtlijn legt de minimumnormen vast waaraan organisaties moeten voldoen op het gebied van informatie- en netwerkbeveiliging. Eerder gold deze richtlijn (NIS1) alleen voor vitale bedrijven maar deze wordt nu uitgebreid naar een grotere groep. Het gaat om organisaties met een omzet van tien miljoen euro of meer dan vijftig medewerkers. De afgeleide Wwke is juist specifiek bedoeld voor organisaties die vitale diensten leveren.
Overigens haalde de Nederlandse overheid afgelopen oktober de deadline voor de implementatie van de Europese NIS2-richtlijn niet. Daardoor hoeven bedrijven en organisaties die onder deze Europese cybersecurityrichtlijn vallen, voorlopig niet aan die nieuwe regelgeving te voldoen.
