Diverse dreigingen zetten de veiligheid van onze maatschappij en economie in toenemende mate onder druk. Denk daarbij aan de oorlog in Oekraïne, cyberdreigingen, de gevolgen van klimaatverandering en COVID-19.
Om de fysieke, digitale en economische weerbaarheid van Europese lidstaten ten aanzien van deze dreigingen te versterken heeft de Europese Unie eind 2022 twee richtlijnen aangenomen; de Critical Entities Resilience Directive (CER-richtlijn) en de Network and Information Security Directive (NIS2-richtlijn).
Lees meer over wat de richtlijnen inhouden en wat dit kan betekenen voor uw organisatie.
Wet weerbaarheid kritieke entiteiten (Wwke) en Cyberbeveiligingswet (Cbw)
Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de CER- en NIS2-richtlijnen naar nationale wetgeving. In Nederland zal de CER-richtlijn geïmplementeerd worden in de vorm van de Wet weerbaarheid kritieke entiteiten (Wwke) en de NIS2-richtlijn in de vorm van de Cyberbeveiligingswet (Cbw). Dit is een omvangrijk en complex traject dat uiterste zorgvuldigheid vergt, juist ook omdat de impact voor Nederlandse organisaties groot is. Zo zullen er bijvoorbeeld ten opzichte van bestaande wetgeving meer sectoren en meer organisaties moeten voldoen aan de nieuwe wetgeving. Bovendien wordt er meer van betrokken sectoren en organisaties gevraagd. Voor zowel de fysieke (CER) en digitale (NIS2) weerbaarheid komt er een zorgplicht (tot nemen van beveiligingsmaatregelen) en een meldplicht (van incidenten). Deze plichten gaan gelden voor organisaties die een dienst verlenen die belangrijk, essentieel of kritiek is voor het functioneren van de maatschappij of economie.
Tussen 21 mei tot 2 juli 2024 konden burgers, bedrijven en instellingen via een internetconsultatie reageren op de wetsvoorstellen Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). De binnengekomen consultatiereacties zijn beoordeeld, waarbij een aantal reacties heeft geleid tot aanpassing van de wetsvoorstellen of een nadere verduidelijking in de bijbehorende memories van toelichting. In een aparte paragraaf van die memories van toelichting is terug te lezen hoe de consultatiereacties zijn verwerkt.
De wetsvoorstellen worden naar verwachting in het eerste kwartaal van 2025 aangeboden aan de Tweede Kamer. Als de Tweede Kamer de wetten aanneemt en vervolgens de Eerste Kamer ook, is de verwachting dat beide wetten in het derde kwartaal van 2025 in werking treden. Dit is natuurlijk afhankelijk van de snelheid van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer.
Ondertussen werkt het ministerie van Justitie en Veiligheid samen met de andere betrokken ministeries ook aan de algemene maatregelen van bestuur (amvb’s) voor de nadere uitwerking van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. De internetconsultatie van deze amvb’s start naar verwachting in het eerste kwartaal van 2025.
Wacht niet af, maar ga nu al aan de slag.
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving in werking is getreden. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Dit alles kan door de volgende maatregelen te nemen.
- Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van uw organisatie kunnen verstoren.
- Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s.
- Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
U kunt hier meer informatie vinden over de wijze waarop uw organisatie deze maatregelen kan nemen.
De Rijksoverheid raadt elke organisatie aan deze maatregelen te nemen om de continuïteit van de bedrijfsprocessen (beter) te waarborgen. Het zijn voor een deel ook de maatregelen die als zorgplicht en meldplicht in de wetgeving worden opgenomen. Voor organisaties die straks moeten voldoen aan de komende wetgeving is het dan ook van belang vroegtijdig te beginnen met de voorbereidingen. Het kost immers tijd om deze maatregelen te implementeren.
Moet mijn organisatie straks aan de nieuwe wetgeving voldoen?
Indien u wilt weten of uw organisatie aan de wetgeving moet voldoen, dan kunt u hier meer informatie vinden, waaronder een vragenlijst waarmee u zelf kunt evalueren of uw organisatie onder de NIS2-richtlijn valt.