De Tweede Kamer heeft op 15 april ingestemd met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Met deze besluiten wil het kabinet de digitale en fysieke weerbaarheid van vitale sectoren, waaronder de zorg, versterken. De maatregelen komen op een moment dat dreigingen toenemen en organisaties steeds vaker doelwit zijn van cyberaanvallen en andere verstoringen van essentiële diensten in Nederland.
Met de invoering van de Cyberbeveiligingswet worden zorgorganisaties die onder deze wet vallen geconfronteerd met nieuwe verplichtingen rond digitale weerbaarheid. De Wet weerbaarheid kritieke entiteiten is daarentegen slechts van toepassing op een beperkte groep organisaties, namelijk partijen die binnen de zorgsector een essentiële dienst leveren. Met deze wetgeving wil de overheid organisaties die van groot belang zijn voor de samenleving beter te beschermen tegen onder andere cyberincidenten, sabotage, uitval van voorzieningen en andere verstoringen.
Tijdens de behandeling van de wetten dienden Kamerleden verschillende moties en amendementen in. Deze gaan onder meer over de uitvoerbaarheid van de wetten, het beperken van regeldruk en de afbakening van verantwoordelijkheden tussen toezichthouders. Ook is aandacht gevraagd voor de informatievoorziening aan beide Kamers.
Versterken digitale weerbaarheid
De Cyberbeveiligingswet vormt de Nederlandse uitwerking van de Europese NIS2-richtlijn en is bedoeld om de digitale weerbaarheid van organisaties te vergroten. Organisaties die onder deze wet vallen, krijgen onder andere te maken met verplichtingen rond zorgplicht, registratieplicht, meldplicht en informatieplicht.
Organisaties moeten zelf vaststellen of zij onder de wet vallen, op basis van de in de wet genoemde categorieën en hun omvang. De Rijksoverheid adviseert om hier niet op te wachten en nu al maatregelen te nemen om de digitale weerbaarheid te verbeteren. Lees hier meer over wat zorgorganisaties kunnen doen om zich hierop voor te bereiden.
De Wet weerbaarheid kritieke entiteiten is de Nederlandse vertaling van de Europese CER-richtlijn en draait om het versterken van de fysieke weerbaarheid van organisaties die cruciale diensten leveren. Het doel is dat om deze organisaties beter te beschermen tegen verstoringen, zoals sabotage, uitval van voorzieningen of bijvoorbeeld natuurrampen. Organisaties hoeven niet zelf te bepalen of zij onder deze wet vallen. Die aanwijzing komt vanuit de overheid. Voor de zorgsector geldt dat organisaties die als kritieke entiteit worden gezien, naar verwachting rond medio 2026 door de minister van Volksgezondheid, Welzijn en Sport worden aangewezen.
Nu de Tweede Kamer heeft ingestemd met de wetsvoorstellen, verschuift de behandeling naar de Eerste Kamer. Daar wordt naar verwachting eerst een verslag opgesteld over beide voorstellen, waarop de regering vervolgens reageert met een nota naar aanleiding van het verslag. Op korte termijn worden ook de adviezen verwacht van de Afdeling advisering van de Raad van State over de algemene maatregelen van bestuur (amvb’s) die onder deze wetten vallen: het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten. Naar aanleiding van deze adviezen stelt de regering nadere rapporten op. Aansluitend treedt de regelgeving in werking.
Sectorale regelgeving
Parallel aan het parlementaire traject wordt gewerkt aan de sectorale regelgeving: de ministeriële regelingen die door de vakdepartementen worden opgesteld en waarin sectorspecifieke uitwerkingen voor de zorg worden opgenomen.
Voor het ministerie van VWS betekent dit dat de input uit de internetconsultatie op de cyberbeveiligingsregeling voor de zorg is verwerkt en dat deze regeling momenteel definitief wordt vastgesteld. Daarnaast wordt gewerkt aan de Regeling weerbaarheid kritieke entiteiten voor de zorg, die naar verwachting komende maand in internetconsultatie gaat. Daarna krijgen belanghebbenden zes weken de tijd om op deze conceptregeling te reageren.
Het doel is om de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten en de bijbehorende lagere regelgeving gelijktijdig in werking te laten treden rond het midden van 2026. Deze planning is mede afhankelijk van de voortgang van de behandeling in de Eerste Kamer. Vorig jaar rond deze periode schreven we nog over het feit dat het omzetten van de NIS2-richtlijn en de CER-richtlijn door het ministerie van Justitie en Veiligheid naar nationale wetgeving meer tijd ging kosten vooraf gedacht. Dit betekent dat Nederland, net als veel andere EU-lidstaten, niet de oorspronkelijke deadline van 17 oktober 2024 heeft gehaald.
