Tijdlijn: van EU-richtlijnen naar nationale wetgeving

2022

• Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad. Op 9 december 2022 is de CER-richtlijn vastgesteld.
• Op 27 december zijn de NIS2- en CER-richtlijn gepubliceerd in de Official Journal van de Europese Unie.

2024

• De implementatie van de wet wordt gecoördineerd door het ministerie van Justitie en Veiligheid. Het ministerie van VWS is hierbij nauw betrokken.
• In mei 2024 heeft een internetconsulatie plaatsgevonden waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen aangaven in de conceptwet.
• De NIS2-richtlijn wordt omgezet in de nationale Cyberbeveiligingswet. De internetconsultatie voor deze wet vindt u hier.
• De CER-richtlijn wordt omgezet in de nationale Wet weerbaarheid kritieke entiteiten. De internetconsultatie voor deze wet vindt u hier.
• Vanaf 17 oktober 2024 hebben een aantal bepalingen uit de NIS2-richtlijn een directe werking. Dit betekent dat zorgorganisaties die onder de Cyberbeveiligingswet gaan vallen vanaf 17 oktober 2024 wel rechten hebben, maar nog geen wettelijke verplichtingen uit de NIS2-richtlijn. Meer informatie over de rechten en verplichtingen vanaf 17 oktober 2024 tot en met de inwerkingtreding van de Cyberbeveiligingswet vindt u hier.
• De wetteksten van de CER- en de NIS2-richtlijnen worden herzien en worden eind 2025 naar de Raad van State gestuurd. De hoofdwet wordt verder uitgewerkt in lagere wetgeving door het ministerie van Justitie en Veiligheid in de vorm van een algemene maatregel van bestuur (AmvB). Voor deze AmvB is een internetconsultatieperiode gepland, die begint in de tweede week van 2025. Tijdens deze consultatie kunnen burgers, bedrijven en overheidsinstellingen suggesties voor mogelijke verbeteringen indienen.

2025

Eerste kwartaal
De internetconsultaties voor de concept-algemene maatregelen van bestuur (AMvB’s) behorende bij de Cyberbeveiligingswet en de Wet Weerbaarheid Kritieke Entiteiten zijn gepubliceerd. Deze amvb’s worden respectievelijk het Cyberbeveiligingsbesluit (Cbb) en het Besluit weerbaarheid kritieke entiteiten (Bwke) genoemd. Iedereen heeft de mogelijkheid om input te geven via de internetconsultatie op de uitwerking van deze regelgeving. Waar mogelijk wordt deze input verwerkt in de wetsartikelen of de toelichting van het Cbb en Bwke.

Derde/vierde kwartaal

• De Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten en de bijbehorende lagere wetgeving treden in werking nadat ze zijn behandeld door de Tweede en Eerste Kamer.
• Het ministerie van Volksgezondheid, Welzijn en Sport stelt een ministeriële regeling op met specifieke maatregelen voor de zorgsector. Er wordt een ministeriële regeling opgesteld voor zowel de Cyberbeveiligingswet als de Wet weerbaarheid kritieke entiteiten. Deze regelingen treden tegelijk met de wet in werking.
• Organisaties die onder de Cyberbeveiligingswet vallen moeten vanaf dat moment voldoen aan verplichtingen zoals de zorgplicht, registratieplicht en meldplicht.
• Zodra de Wet weerbaarheid kritieke entiteiten eind 2025 van kracht is, wijst de minister van Volksgezondheid, Welzijn & Sport de kritieke entiteiten in de zorg aan, met een uiterste deadline van 17 juli 2026.
• Voor deze organisaties die zijn aangewezen als kritieke entiteit geldt een overgangsperiode van 10 maanden om te voldoen aan de verplichtingen uit de wet.

Wacht niet af, kom in actie!

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.