Tijdlijn: van EU-richtlijnen naar nationale wetgeving

Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de CER- en NIS2-richtlijnen naar nationale wetgeving die gaat gelden voor diverse sectoren. Het ministerie van Justitie en Veiligheid is verantwoordelijk voor de coördinatie van de implementatie van beide richtlijnen in de Nederlandse wetgeving. Het ministerie van Volksgezondheid, Welzijn en Sport is verantwoordelijk voor de aansluiting en implementatie van (lagere) wetgeving in de sector zorg. Hierbij wordt de onderstaande planning gevolgd. Dit is een indicatieve planning.

2022

  • Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad. Op 9 december 2022 is de CER-richtlijn vastgesteld.
  • Op 27 december zijn de NIS2- en CER-richtlijn gepubliceerd in de Official Journal van de Europese Unie.

2024

  • De implementatie van de wet wordt gecoördineerd door het ministerie van Justitie en Veiligheid. Het ministerie van VWS is hierbij nauw betrokken.
  • In mei 2024 heeft een internetconsulatie plaatsgevonden waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen aangaven in de conceptwet.
  • De NIS2-richtlijn wordt omgezet in de nationale Cyberbeveiligingswet. De internetconsultatie voor deze wet vindt u hier.
  • De CER-richtlijn wordt omgezet in de nationale Wet weerbaarheid kritieke entiteiten. De internetconsultatie voor deze wet vindt u hier.
  • Vanaf 17 oktober 2024 hebben een aantal bepalingen uit de NIS2-richtlijn een directe werking. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf 17 oktober 2024 wel rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn. Meer informatie over de rechten en verplichtingen vanaf 17 oktober 2024 tot en met de inwerkingtreding van de Cyberbeveiligingswet vindt u hier.
  • De wetteksten van de CER- en de NIS2-richtlijnen worden herzien en worden eind 2025 naar de Raad van State gestuurd. De hoofdwet wordt verder uitgewerkt in lagere wetgeving door het ministerie van Justitie en Veiligheid in de vorm van een algemene maatregel van bestuur (AmvB). Voor deze AmvB is een internetconsultatieperiode gepland, die begint in de tweede week van 2025. Tijdens deze consultatie kunnen burgers, bedrijven en overheidsinstellingen suggesties voor mogelijke verbeteringen indienen.

2025

Naar verwachting zullen de wetten en AmvB in het derde of vierde kwartaal van 2025 in werking treden, nadat deze door het parlement zijn behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan alle verplichtingen uit de wet voldoen, zoals de zorgplicht, de registratieplicht en de meldplicht. De organisaties die als kritieke entiteiten worden aangewezen, hebben na aanwijzing 10 maanden om aan de verplichtingen uit de wet te voldoen. In het derde of vierde kwartaal van 2025 zal het ministerie van VWS specifieke maatregelen voor de zorg uitwerken in een ministeriële regeling. De ministeriele regeling wordt opgesteld voor de Cyberbeveiligingswet en de Wet Weerbare kritieke entiteiten.


Wacht niet af, kom in actie!

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.