De Tweede Kamer heeft op woensdag 15 april ingestemd met de wetsvoorstellen voor de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Daarmee zet Nederland een belangrijke stap in het versterken van de digitale en fysieke weerbaarheid van onder meer organisaties in de zorgsector tegen toenemende dreigingen.
Moties en amendementen
Op de wetsvoorstellen zijn diverse moties en amendementen ingediend. Deze gaan onder meer over de uitvoerbaarheid, het beperken van de regeldruk voor bedrijven en andere organisaties, de rolverdeling tussen toezichthouders en het informeren van de Tweede Kamer en Eerste Kamer.
Wat betekent dit voor organisaties in de zorgsector?
Met de komst van de Cyberbeveiligingswet krijgen organisaties in de zorgsector die onder deze wet vallen te maken met nieuwe verplichtingen op het gebied van digitale weerbaarheid.
Voor de Wet weerbaarheid kritieke entiteiten geldt dat slechts een beperkt aantal organisaties wordt aangewezen. Dit betreft uitsluitend organisaties die een essentiële dienst verlenen binnen de zorgsector.
Met deze wetgeving wil de overheid organisaties die essentieel zijn voor de samenleving beter beschermen tegen onder meer cyberincidenten, sabotage, uitval van voorzieningen en andere verstoringen.
Cyberbeveiligingswet
De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn en heeft als doel de digitale weerbaarheid van organisaties te versterken. Voor organisaties die onder deze wet vallen, gelden straks onder meer verplichtingen op het gebied van zorgplicht, registratieplicht, meldplicht en informatieplicht.
Organisaties moeten zelf beoordelen of zij onder de wet vallen, op basis van de categorieën in de wetgeving en hun omvang en grootte. Het advies van de Rijksoverheid is om hier niet op te wachten en nu al stappen te zetten om de digitale weerbaarheid te versterken. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.
Wet weerbaarheid kritieke entiteiten
De Wet weerbaarheid kritieke entiteiten is de Nederlandse implementatie van de Europese CER-richtlijn en richt zich op de fysieke weerbaarheid van organisaties die essentiële diensten leveren. Het doel van deze wet is om deze organisaties beter te beschermen tegen verstoringen als gevolg van bijvoorbeeld sabotage, uitval van voorzieningen of natuurrampen.
Organisaties bepalen niet zelf of zij onder deze wet vallen, maar worden door de overheid aangewezen als kritieke entiteit. Organisaties in de zorgsector die als kritieke entiteit worden aangemerkt, worden naar verwachting medio 2026 door de minister van VWS aangewezen.
Vervolg
Nu de Tweede Kamer de wetsvoorstellen heeft aangenomen, volgt de behandeling van de wetsvoorstellen door de Eerste Kamer. Naar verwachting wordt eerst op beide wetsvoorstellen een verslag uitgebracht, waarna de regering daarop reageert met een nota naar aanleiding van het verslag.
Binnenkort worden de adviezen van de Afdeling advisering van de Raad van State verwacht over de algemene maatregelen van bestuur (amvb’s) onder de wetten. Dat zijn het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten. Op die adviezen stelt de regering nadere rapporten op. Daarna volgt de inwerkingtreding van de amvb’s.
Uitwerking in lagere regelgeving
Parallel aan het parlementaire traject wordt gewerkt aan de sectorale regelgeving: de ministeriële regelingen die door de vakdepartementen worden opgesteld en waarin sectorspecifieke uitwerkingen voor de zorg worden opgenomen.
Voor het ministerie van VWS betekent dit dat de input uit de internetconsultatie op de cyberbeveiligingsregeling voor de zorg is verwerkt en dat deze regeling momenteel definitief wordt vastgesteld.
Daarnaast wordt gewerkt aan de Regeling weerbaarheid kritieke entiteiten voor de zorg, die naar verwachting komende maand in internetconsultatie gaat. Daarna krijgen belanghebbenden zes weken de tijd om op deze conceptregeling te reageren.
Inwerkingtreding
De regering streeft ernaar om de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten en de bijbehorende regelgeving gelijktijdig in werking te laten treden medio 2026. Deze planning is onder meer afhankelijk van de voortgang van de parlementaire behandeling in de Eerste Kamer.
Wacht niet af, kom in actie
Hoewel de wetgeving naar verwachting pas in het tweede kwartaal van 2026 in werking treedt, is het verstandig om als organisatie in de zorgsector nu al stappen te zetten.
Door tijdig te investeren in digitale en fysieke weerbaarheid verkleinen organisaties bestaande risico’s en zijn zij beter voorbereid op de nieuwe wettelijke verplichtingen.