Cyberbeveiligingswet

Dit wetsvoorstel voor de Cyberbeveiligingswet (Cbw) implementeert de EU-richtlijn 2022/2555, bekend als de NIS2-richtlijn. De NIS2-richtlijn is gericht op het verbeteren van de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten. Deze verbetering is noodzakelijk vanwege de grotere afhankelijkheid van digitale diensten en producten en door de toegenomen dreigingen. De NIS2-richtlijn is de opvolger van de zogeheten NIS1-richtlijn, die in 2018 is geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (34.883).

Met deze richtlijn wordt een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU beoogd. Het doel van de richtlijn is om ervoor te zorgen dat in alle landen binnen de EU dezelfde regels gelden voor cyberbeveiliging bij bedrijven en organisaties, vallend onder de in bijlage 1 genoemde sectoren. Hierbij kan onder andere gedacht worden aan sectoren zoals energie, vervoer, bankwezen, gezondheidszorg, drink- en afvalwater, levensmiddelen en (digitale) infrastructuur. Op basis van hun activiteiten in een bepaalde sector en hun omvang is het noodzakelijk dat deze bedrijven en organisaties maatregelen nemen om cyberrisico’s te beheersen. Veel bedrijven en organisaties zijn dus al van rechtswege een essentiële of belangrijke entiteit. Een entiteit met beperktere omvang kan op basis van een nationale vitaalbeoordeling aangewezen worden als essentiële entiteit, wanneer een verstoring van dienstverlening aanzienlijke gevolgen kan hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid. Of wanneer die entiteit de enige aanbieder is van een dienst die essentieel is voor de instandhouding van maatschappelijke of economische activiteiten. De NIS2-richtlijn is ook van toepassing op overheidsinstanties van de centrale overheid, ongeacht hun omvang, met uitzondering van enkele sectoren (zie artikel 5, eerste lid). De regering heeft er ook voor gekozen om de NIS2-richtlijn van toepassing te laten zijn op lokale overheden. Het onderscheid tussen een ‘essentiële’ of ‘belangrijke’ entiteit komt tot uiting in het toezichtsregime, dat bij essentiële entiteiten uitgebreider is dan het toezichtsregime bij belangrijke entiteiten.

De NIS2-richtlijn bevat diverse verplichtingen voor bedrijven en organisaties, zoals die over het nemen van maatregelen voor het beheersen van cyberbeveiligingsrisico’s (zorgplicht), het melden van significante incidenten (meldplicht) en de verplichting om informatie te verstrekken ten behoeve van het register van het Agentschap van de Europese Unie voor cyberbeveiliging (registerplicht).

De NIS2-richtlijn is op 16 januari 2023 in werking getreden en moet uiterlijk op 17 oktober 2024 zijn omgezet in nationale regelgeving.

Deze samenvatting is gebaseerd op het wetsvoorstel en de memorie van toelichting zoals ingediend bij de Tweede Kamer.

Het voorstel is in behandeling bij de Tweede Kamer.

ingediend

2 juni 2025

titel

Regels ter implementatie van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PbEU 2022, L 333) (Cyberbeveiligingswet)

schriftelijke voorbereiding

ondertekening

inwerkingtreding

Op een bij koninklijk besluit te bepalen tijdstip dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.