Internetconsultatie algemene maatregelen van bestuur Cyberbeveiligingswet van start

De internetconsultatie is gestart van de concept-algemene maatregelen van bestuur (amvb’s) behorende bij de Cyberbeveiligingswet. Het gaat om het Cyberbeveiligingsbesluit. De consultatieperiode loopt tot en met 30 maart 2025. 

 

De amvb is de nadere uitwerking van de Cyberbeveiligingswet in regelgeving. In de amvb worden onderwerpen uit de wet, zoals de zorgplicht, registratieplicht en opleidingsplicht voor bestuurders nader uitgewerkt. 

 

Ook de consultatie van de amvb behorende bij de Wet weerbaarheid kritieke entiteiten is gestart, genaamd Besluit weerbaarheid kritieke entiteiten. 

 

De Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten zijn de omzetting in nationale wetgeving van twee Europese richtlijnen: de Network and Information Security Directive (NIS2) en de Critical Entities Resilience Directive (CER). Deze hebben als doel om de weerbaarheid van EU-lidstaten te versterken door ervoor te zorgen dat organisaties die in de lidstaten actief zijn voldoende weerbaar zijn tegen allerlei dreigingen. De Rijksoverheid roept organisaties dan ook op om zich voor te bereiden op de inwerkingtreding van de wetten en de amvb’s.

 

Het doel van de consultatie is om belanghebbenden te betrekken bij de totstandkoming van de amvb. Reageren op het concept Cyberbeveiligingsbesluit kan van 20 februari tot en met 30 maart 2025 via internetconsultatie.nl. Na de consultatieperiode worden alle reacties bekeken en waar nodig verwerkt in de amvb.

 

Elk departement maakt een nadere uitwerking van het Cyberbeveiligingsbesluit en van het Besluit weerbaarheid kritieke entiteiten in de vorm van een ministeriële regeling. Daarin worden sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van een incident.

 

Het ministerie van Economische Zaken, het ministerie van Infrastructuur en Waterstaat, het ministerie van Klimaat en Groene Groei en het ministerie van Landbouw, Visserij, Voedselzekerheid en Natuur hebben al voor de uitwerking van de zorgplicht uit de Cyberbeveiligingswet een ministeriële regeling opgesteld. Deze worden nu mede geconsulteerd zodat organisaties wat betreft de zorgplicht kunnen reageren op het Cyberbeveiligingsbesluit en de ministeriële regeling in zijn geheel. Bij de relevante documenten op internetconsultatie.nl is de concept-ministeriële regeling in te zien en kan worden deelgenomen aan de consultatie. Daarin staat ook beschreven voor welke entiteiten deze concept-ministeriële regeling gaat gelden.

 

Voor de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Volksgezondheid, Welzijn en Sport geldt dat de uitwerking van de zorgplicht uit de Cyberbeveiligingswet voor het overgrote deel in lijn is met bestaande normenkaders voor cyberbeveiliging in de sectoren overheid en gezondheidszorg. Voor de overheid gaat dit om de Baseline Informatiebeveiliging Overheid (BIO)2. Voor de zorg gaat het om de NEN7510 en ISO27001.

 

Naar verwachting worden de wetsvoorstellen in het eerste kwartaal van 2025 ingediend bij de Tweede Kamer. Het streven is dat beide wetsvoorstellen én beide amvb’s in het derde kwartaal van 2025 in werking treden. Dit is uiteraard ook afhankelijk van de voortgang van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer.

 

De Cyberbeveiligingswet heeft als doel de digitale weerbaarheid van Nederland te versterken door ervoor te zorgen dat organisaties die in Nederland actief zijn digitaal weerbaar zijn. De wet bevat onder meer een zorgplicht die organisaties verplicht om maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen en om digitale incidenten te voorkomen. Met de inwerkingtreding van de Cyberbeveiligingswet wordt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) ingetrokken. Ben je benieuwd of jouw bedrijf aan deze nieuwe wet moet voldoen? Doe de snelle checks op 'Voor wie geldt de NIS2?"of doorloop NIS2-Zelfevaluatie tool om erachter te komen.

 

Een weerbaar digitaal Nederland is altijd belangrijk. Nu en in de toekomst. Er zijn veel maatregelen die organisaties nu al kunnen nemen, nog voordat ze dat verplicht worden vanuit de wetgeving.

 

De maatregelen die organisaties vanuit de zorgplicht moeten nemen, kosten tijd en aandacht. Daarom adviseert de Rijksoverheid organisaties om niet af te wachten tot de inwerkingtreding van de wetsvoorstellen en de amvb, maar om alvast voorbereidingen te treffen. Bekijk het NIS2-startpunt met 10 maatregelen en ga alvast aan de slag om jouw organisatie voor te bereiden. Ook het NCSC geeft uitgebreide informatie over stappen die jouw organisatie al ter voorbereiding kan zetten.

 

Hoewel nog niet alle vragen beantwoord kunnen worden, hoort het Digital Trust Center graag welke vragen en informatiebehoefte jouw bedrijf heeft. Dé plek om dit uit te wisselen is de speciale NIS2-themaruimte op de DTC Community. Je kunt op dit online platform in direct contact komen met ruim duizenden andere ondernemers en cybersecurity professionals.