Op 30 juni 2025 zijn de concepten van de algemene maatregelen van bestuur (amvb’s) behorende bij de wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten gestuurd naar de Tweede Kamer, zodat de Tweede Kamer deze kan betrekken bij de behandeling van de wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten. In de amvb’s worden diverse onderwerpen uit deze wetten, zoals de zorgplicht, nader uitgewerkt.

De Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten zijn de omzetting in nationale wetgeving van twee Europese richtlijnen: de Network and Information Security Directive (NIS2) en de Critical Entities Resilience Directive (CER). Deze richtlijnen hebben als doel om de weerbaarheid van kritieke, essentiële en belangrijke organisaties te verhogen, zodat die weerbaar zijn tegen bijvoorbeeld cyberdreigingen, klimaatverandering of dreigingen vanuit statelijke actoren. De Rijksoverheid roept organisaties dan ook al langere tijd op om zich voor te bereiden op de inwerkingtreding van de wetten en onderliggende regelgeving.

Wijzigingen naar aanleiding van de consultatie verwerkt
De concepten van het Cyberbeveiligingsbesluit en het Besluit weerbaarheid kritieke entiteiten zijn tussen 20 februari 2025 en 30 maart 2025 geconsulteerd. De tijd en de moeite die organisaties en overheden hebben genomen om te reageren, worden zeer gewaardeerd. De binnengekomen consultatiereacties zijn beoordeeld, waarbij een aantal reacties heeft geleid tot aanpassing van de amvb’s of een nadere verduidelijking in de bijbehorende nota’s van toelichting. In een aparte paragraaf van die nota’s van toelichting is terug te lezen hoe de consultatiereacties zijn verwerkt. De aangepaste amvb’s en de bijbehorende nota’s van toelichting zijn hier in te zien: Concepten Cyberbeveiligingsbesluit en Besluit weerbaarheid kritieke entiteiten | Tweede Kamer der Staten-Generaal

Vervolg
Zo snel mogelijk na de afloop van de behandeling van de wetsvoorstellen door de Tweede Kamer zullen de amvb’s, na akkoord van de ministerraad, voor advies worden voorgelegd aan de Afdeling advisering van de Raad van de State. Het is de bedoeling dat de amvb’s tegelijk met de wetsvoorstellen in werking treden.
Daarnaast wordt door elk betrokken departement gewerkt aan ministeriële regelingen. Daarin worden sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van incidenten. Sommige departementen (de ministeries van Economische Zaken, van Infrastructuur en Waterstaat, van Klimaat en Groene Groei en van Landbouw, Visserij, Voedselzekerheid en Natuur) hebben al een gedeelte van die regelingen, specifiek over de zorgplicht, in internetconsultatie gebracht. Voor de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Volksgezondheid, Welzijn en Sport geldt dat de uitwerking van de zorgplicht uit de Cyberbeveiligingswet voor het overgrote deel in lijn is met bestaande normenkaders voor cyberbeveiliging in de sectoren overheid en gezondheidszorg. Voor de overheid gaat dit om de Baseline Informatiebeveiliging Overheid (BIO2). Voor de zorg gaat het om de NEN7510 en ISO27001.

Wacht niet af, bereid je voor
De Rijksoverheid roept organisaties op om zich voor te bereiden op de inwerkingtreding van de wet- en regelgeving. De risico’s die organisaties lopen, doen zich immers nu al voor. Meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten en onderliggende regelgeving, vindt u hier.