Deze week (10 november) is de internetconsultatie van de Cyberbeveiligingsregeling gestart, de ministeriële regeling die uitvoering geeft aan de Cyberbeveiligingswet. Tijdens deze consultatie kunnen organisaties en andere belanghebbenden reageren op de conceptteksten van de regeling. De consultatieperiode loopt van 10 november tot en met 21 december 2025. Na afloop worden alle binnengekomen reacties beoordeeld en, waar nodig, verwerkt in de definitieve versie van de regeling.
Om de digitale weerbaarheid van vitale sectoren, zoals de zorg, binnen de Europese Unie te versterken, is er de Europese Network and Information Security Directive (NIS2-richtlijn). Deze richtlijn wordt omgezet in nationale wetgeving in de Cyberbeveiligingswet (Cbw) en het Cyberbeveiligingsbesluit (de algemene maatregel van bestuur, AMvB, bij de Cbw).
Sectorspecifieke bepalingen
De ministeriële regeling voor de zorg vormt een nadere uitwerking van de Cyberbeveiligingswet en het bijbehorende Cyberbeveiligingsbesluit (de algemene maatregel van bestuur). Waar de wet en het besluit de hoofdlijnen en algemene verplichtingen uit de NIS2-richtlijn vastleggen, bevat de ministeriële regeling juist de sectorspecifieke bepalingen voor de zorgsector.
In deze regeling wordt onder meer uitgewerkt wanneer zorgorganisaties verplicht zijn een cyberincident te melden, welke drempelwaarden daarbij gelden en welke instantie als toezichthouder optreedt. Behalve voor de zorgsector, gaat op 10 november ook een aantal sectorspecifieke ministeriële regelingen van andere ministeries in consultatie.
Fysieke weerbaarheid
Daarnaast is er om de fysieke weerbaarheid van een aantal sectoren te versterken, ook nog de Europese Critical Entities Resilience Directive (CER-richtlijn). Deze richtlijn wordt in nationale wetgeving omgezet in de Wet weerbaarheid kritieke entiteiten (Wwke). Ook voor de Wwke stelt het ministerie van VWS een ministeriële regeling op voor de sector zorg. Het concept van deze ministeriële regeling gaat midden december 2025 in internetconsultatie.
Proces
De wetsvoorstellen voor de Cbw en de Wwke en conceptteksten voor de onderliggende AMvB’s zijn in juni 2025 ingediend bij de Tweede Kamer. De Tweede Kamer heeft daarna over beide wetsvoorstellen en de onderliggende AMvB’s vragen gesteld. De antwoorden op deze vragen zijn te vinden in de volgende stukken:
- Nota naar aanleiding van verslag Cyberbeveiligingswet (Tweede Kamer)
- Nota naar aanleiding van verslag Wwke (Tweede Kamer)
Naar verwachting treden de Cbw en de Wwke, inclusief de bijbehorende AMvB’s en ministeriële regelingen, in het tweede kwartaal van 2026 in werking.
Deadline gemist
In april van dit jaar werd bekend dat het ministerie van Justitie en Veiligheid meer tijd nodig heeft voor het omzetten van de NIS2- en CER-richtlijnen naar nationale wetgeving dan oorspronkelijk gepland. Hierdoor heeft Nederland, net als veel andere EU-lidstaten, de deadline van 17 oktober 2024 niet gehaald. De vertraging is het gevolg van de complexiteit en de omvang van het wetgevingsproces. Hoewel de wetgeving nog niet van kracht is, wordt van (zorg)organisaties, ook wel entiteiten genoemd, verwacht dat zij nu al rekening houden met de aankomende verplichtingen en zo nodig actie ondernemen.
