Op 4 juni zijn de wetsvoorstellen voor de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) ingediend bij de Tweede Kamer. Hiermee worden twee Europese richtlijnen voor het versterken van de fysieke en digitale weerbaarheid van onder andere de zorgsector in Europa omgezet in Nederlandse wetgeving: de NIS2-richtlijn (Network and Information Security Directive) en de CER-richtlijn (Critical Entities Resilience Directive).
De wetsvoorstellen en bijbehorende stukken zijn te vinden op de website van de Tweede Kamer:
In februari 2025 bracht de Afdeling advisering van de Raad van State advies uit op de concept-wetsvoorstellen. In de zogenaamde nadere rapporten is te lezen hoe deze adviezen in de wetsvoorstellen zijn verwerkt. Ook die stukken zijn te vinden via de linkjes hierboven.
Tot inwerkingtreding geen verplichtingen, wel bepaalde rechten
Na behandeling van de wetsvoorstellen in de Tweede Kamer, gaan ze voor verdere behandeling door naar de Eerste Kamer. De eerder gecommuniceerde streefdatum van inwerkingtreding in het derde of vierde kwartaal van 2025 is daarmee niet meer haalbaar. De regering zet nu in op inwerkingtreding in het tweede kwartaal van 2026, inclusief de bijbehorende lagere wetgeving.
Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn.
Vanwege de rechtstreekse werking van sommige bepalingen uit de NIS2-richtlijn hebben organisaties al wel bepaalde rechten rondom cyberbeveiliging. Bij een cyberincident kunnen organisaties ondersteuning krijgen van een Computer Security Incident Response Team (CSIRT). Voor de zorgsector vervult Z-CERT deze rol.
Algemene maatregelingen van bestuur en ministeriële regelingen
Parallel aan de parlementaire behandeling worden de bijbehorende lagere regelingen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten uitgewerkt. Zo worden op dit moment de conceptversies van het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten klaargemaakt voor verzending naar de Tweede Kamer.
Voorbereiding sectorspecifieke regels zorgsector in volle gang
Het ministerie van VWS bereidt in aansluiting hierop twee ministeriële regelingen voor, waarin sectorspecifieke regels voor de zorg worden vastgelegd voor zowel de digitale als de fysieke weerbaarheid. Hierbij valt te denken aan de drempelwaarden voor het melden van incidenten binnen de zorgsector of de criteria om een kritieke entiteit in de zorg aan te wijzen. De ministeriële regelingen voor de zorg gaat naar verwachting in het vierde kwartaal van 2025 in internetconsultatie.
Wacht niet af, kom in actie
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. Want de risico’s die organisaties en systemen lopen, zijn er ook nu al. Organisaties die nu in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.
Meer informatie
Bekijk voor meer inzicht in de aanleiding, doelen, keuzes en gevolgen van de wetsvoorstellen de beslisnota van het ministerie van Justitie en Veiligheid.
Op onze website vind je ook meer informatie over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.