Internetconsultatie algemene maatregelen van bestuur Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten van start
Op 20 februari 2025 is de internetconsultatie van de concept-algemene maatregelen van bestuur (amvb’s) behorende bij de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten is gestart. Het gaat om het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten. De consultatieperiode loopt tot en met 30 maart 2025.
De amvb’s zijn nadere uitwerkingen van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in regelgeving. In de amvb’s worden onderwerpen uit deze wetten, zoals de zorgplicht, registratieplicht en opleidingsplicht voor bestuurders, nader uitgewerkt.
De Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten zijn de omzetting in nationale wetgeving van twee Europese richtlijnen: de Network and Information Security Directive (NIS2) en de Critical Entities Resilience Directive (CER). Deze hebben als doel om de weerbaarheid van EU-lidstaten te versterken door ervoor te zorgen dat organisaties die in de lidstaten actief zijn voldoende weerbaar zijn tegen allerlei dreigingen. De Rijksoverheid roept organisaties dan ook op om zich voor te bereiden op de inwerkingtreding van de wetten en de amvb’s.
Deelnemen aan consultatie
Via www.internetconsultatie.nl kan iedereen reageren op het concept Cyberbeveiligingsbesluit en het concept Besluit weerbaarheid kritieke entiteiten. Het doel van de consultatie is om belanghebbenden te betrekken bij de totstandkoming van deze amvb’s. Er kan tussen 20 februari tot en 30 maart 2025 worden gereageerd. Na afloop van de consultatieperiode worden alle reacties bekeken en waar nodig verwerkt in de amvb’s.
Via onderstaande links zijn de concept-amvb’s in te zien en kan worden deelgenomen aan de consultatie:
Ministeriële regelingen
Elk departement maakt een nadere uitwerking van het Cyberbeveiligingsbesluit en van het Besluit weerbaarheid kritieke entiteiten in de vorm van een ministeriële regeling. Daarin worden sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van een incident.
Het ministerie van Economische Zaken, het ministerie van Infrastructuur en Waterstaat, het ministerie van Klimaat en Groene Groei en het ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur hebben al voor de uitwerking van de zorgplicht uit de Cyberbeveiligingswet een ministeriële regeling opgesteld. Deze worden nu mede geconsulteerd zodat organisaties wat betreft de zorgplicht kunnen reageren op het Cyberbeveiligingsbesluit en de ministeriële regeling in zijn geheel. Hier is de concept-ministeriële regeling in te zien en kan worden deelgenomen aan de consultatie. Daarin staat ook beschreven voor welke entiteiten deze concept-ministeriële regeling gaat gelden.
Voor de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Volksgezondheid, Welzijn en Sport geldt dat de uitwerking van de zorgplicht uit de Cyberbeveiligingswet voor het overgrote deel in lijn is met bestaande normenkaders voor cyberbeveiliging in de sectoren overheid en gezondheidszorg. Voor de overheid gaat dit om de Baseline Informatiebeveiliging Overheid (BIO)2. Voor de zorg gaat het om de NEN7510 en ISO27001.
Cyberbeveiligingswet
De Cyberbeveiligingswet heeft als doel de digitale weerbaarheid van Nederland te versterken door ervoor te zorgen dat organisaties die in Nederland actief zijn digitaal weerbaar zijn. De wet bevat onder meer een zorgplicht die organisaties verplicht om maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen en om digitale incidenten te voorkomen. Met de inwerkingtreding van de Cyberbeveiligingswet wordt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) ingetrokken.
Lees meer over welke sectoren en criteria bepalen of een organisatie onder de Cyberbeveiliginswet valt en hoe organisaties zich kunnen voorbereiden.
Wet weerbaarheid kritieke entiteiten
De Wet weerbaarheid kritieke entiteiten richt zich op de bescherming van organisaties tegen allerlei soorten dreigingen, zoals sabotage en terroristische aanslagen, grensoverschrijdende afhankelijkheden en natuurrampen. Deze wet heeft als doel om de weerbaarheid van organisaties die essentiële diensten verlenen in Nederland te verhogen, zoals drinkwater- en energiebedrijven. Zodat Nederland weerbaar is tegen dit type dreigingen.
Organisaties die onder de Wet weerbaarheid kritieke entiteiten komen te vallen, worden eerst door het departement aangewezen als kritieke entiteiten en geïnformeerd. Binnen 9 maanden na de aanwijzing moeten zij voldoen aan de verplichting tot het uitvoeren van een risicobeoordeling en binnen 10 maanden na de aanwijzing moeten zij voldoen aan de zorgplicht en de meldplicht.
Lees meer over de Wet weerbaarheid kritieke entiteiten.
De volgende stappen
Naar verwachting worden de wetsvoorstellen in het eerste kwartaal van 2025 ingediend bij de Tweede Kamer. Het streven is dat beide wetsvoorstellen én beide amvb’s in het derde kwartaal van 2025 in werking treden. Dit is uiteraard ook afhankelijk van de voortgang van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer.
Wacht niet af, bereid je voor
De Rijksoverheid roept organisaties op om zich voor te bereiden op inwerkingtreding van de wetten en de amvb’s. De risico’s die organisaties lopen, doen zich immers nu al voor. Bekijk meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van deze wetten.