Tijdlijn: van EU-richtlijnen naar nationale wetgeving

Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de CER- en NIS2-richtlijnen naar nationale wetgeving die gaat gelden voor diverse sectoren. Het ministerie van Justitie en Veiligheid is verantwoordelijk voor de coördinatie van de implementatie van beide richtlijnen in de Nederlandse wetgeving. Het ministerie van Volksgezondheid, Welzijn en Sport is verantwoordelijk voor de aansluiting en implementatie van (lagere) wetgeving in de sector zorg. Hierbij wordt de onderstaande planning gevolgd. Dit is een indicatieve planning.

2022

Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad. Op 9 december 2022 is de CER-richtlijn vastgesteld.
Op 27 december zijn de NIS2- en CER-richtlijn gepubliceerd in de Official Journal van de Europese Unie.

2024

De implementatie van de wet wordt gecoördineerd door het ministerie van Justitie en Veiligheid. Het ministerie van VWS is hierbij nauw betrokken.
In mei 2024 heeft een internetconsulatie plaatsgevonden waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen aangaven in de conceptwet.
De NIS2-richtlijn wordt omgezet in de nationale Cyberbeveiligingswet. De internetconsultatie voor deze wet vindt u hier.
De CER-richtlijn wordt omgezet in de nationale Wet weerbaarheid kritieke entiteiten. De internetconsultatie voor deze wet vindt u hier.
Vanaf 17 oktober 2024 hebben een aantal bepalingen uit de NIS2-richtlijn een directe werking. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf 17 oktober 2024 wel rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn. Meer informatie over de rechten en verplichtingen vanaf 17 oktober 2024 tot en met de inwerkingtreding van de Cyberbeveiligingswet vindt u hier.
De wet Cbw en Wwke worden verder uitgewerkt in lagere wetgeving door het ministerie van Justitie en Veiligheid in de vorm van een algemene maatregel van bestuur (AMvB).

2025

Februari – maart: Start van de internetconsultaties op de concept-algemene maatregelingen van bestuur (AMvB’s): Cyberbeveiligingsbesluit (Cbb) en Besluit weerbaarheid kritieke entiteiten (Bwke). Iedereen kon feedback geven op de uitwerking van de wetgeving. De reacties zijn waar mogelijk verwerkt in de besluiten of in de toelichting van de besluiten.
De Raad van State heeft advies uitgebracht over de wetten en waar mogelijk is het advies in de wet verwerkt of in de memorie van toelichting.
4 juni 2025: De wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten zijn ingediend bij de Tweede Kamer. Parallel wordt gewerkt aan de afronding van de AMvB’s en twee ministeriële regelingen van VWS met sectorspecifieke verplichtingen voor de zorg.
De planning is dat de de wetten in de Tweede Kamer voor het zomerreces worden behandeld.
AMvB’s worden aan de Raad van State voorgelegd voor advies
Vierde kwartaal: start van de internetconsultatie van de ministerie regelingen voor de zorg. Na 6 weken zal het ministerie van VWS de reacties verwerken.

2026

Tweede kwartaal: Cyberbeveiligingswet, Wet weerbaarheid kritieke entiteiten, bijbehorende AMvB’s en ministeriële regelingen treden in werking.
De organisaties in de sector zorg en de subsector vervaardiging van medische hulpmiddelen die onder de Cyberbeveiligingswet vallen moeten vanaf dan voldoen aan onder andere de:
- Registratieplicht
- Meldplicht
- Zorgplicht
De minister van VWS wijst de kritieke entiteiten in de zorg uiterlijk op 17 juli 2026 aan. Voor aangewezen kritieke entiteiten geldt een overgangsperiode van 10 maanden om te voldoen aan de verplichtingen uit de Wet weerbaarheid kritieke entiteiten.