Gisteren zijn de concepten van het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten naar de Tweede Kamer gestuurd. Dit zijn de concept-algemene maatregelen van bestuur (AMvB’s) bij de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten, waarvan de wetsvoorstellen kort geleden ook naar de Tweede Kamer gingen. In de concept-AMvB’s worden diverse onderwerpen uit de wetten nader uitgewerkt, zoals de zorgplicht die op bepaalde organisaties rust om de weerbaarheid tegen bepaalde dreigingen te vergroten. De concept-AMvB’s zijn naar de Tweede Kamer gestuurd, zodat die ze kan betrekken bij de behandeling van de wetsvoorstellen.
De Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten zijn de omzetting in nationale wetgeving van twee Europese richtlijnen: de Network and Information Security Directive (NIS2) en de Critical Entities Resilience Directive (CER). Deze wetten zijn bedoeld om de weerbaarheid van kritieke, essentiële en belangrijke organisaties te vergroten, waaronder organisaties in de zorg. Zo worden zij beter beschermd tegen risico’s zoals cyberaanvallen, verstoringen door klimaatverandering of doelgerichte bedreigingen van buitenaf.
Wijzigingen naar aanleiding van de consultatie verwerkt
De concepten van het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten waren tussen 20 februari en 30 maart 2025 in internetconsultatie. De binnengekomen reacties zijn beoordeeld en een aantal ervan heeft geleid tot aanpassing van de AMvB’s of een nadere verduidelijking in de bijbehorende nota’s van toelichting. In een aparte paragraaf van die nota’s van toelichting is terug te lezen hoe de consultatiereacties zijn verwerkt. De volgende stap is dat de AMvB’s naar de Raad van State wordt gestuurd voor advies.
De aangepaste AMvB’s en de bijbehorende nota’s van toelichting staan hier.
Voorbereiding sectorspecifieke regels voor de zorg in volle gang
Het ministerie van VWS bereidt in aansluiting hierop twee ministeriële regelingen voor, waarin sectorspecifieke regels voor de zorg worden vastgelegd voor zowel de digitale als de fysieke weerbaarheid. Hierbij valt te denken aan de drempelwaarden voor het melden van incidenten binnen de zorgsector of de criteria om een kritieke entiteit in de zorg aan te wijzen. De ministeriële regelingen voor de zorg gaan naar verwachting in het vierde kwartaal van 2025 in internetconsultatie.
Wacht niet af, kom in actie
De rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. Want de risico’s die organisaties en systemen lopen, zijn er ook nu al. Organisaties die nu in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.
Meer informatie
Hier vind je meer informatie over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.