De Cyberbeveiligingswet komt op zijn vroegst in de eerste helft van 2026. Dat laat demissionair Minister van Justitie en Veiligheid David van Weel aan de Tweede Kamer weten. Hoe erg is dat?
Hoewel de Europese Commissie een nationale implementatie van NIS2 voor oktober 2024 had gepland, lukt dit de meeste lidstaten niet. Buurland België lukte dit al wel (met vijf maanden marge welteverstaan). Desondanks is duidelijk dat de stap van richtlijn naar wet niet zo abrupt is als het lijkt. De boetes voor het overtreden van de wetgeving kunnen tot in de miljoenen euro’s lopen binnen kritieke sectoren, maar nog niemand is tegen de lamp gelopen.
Dit suggereert dat het nog te vroeg is voor dergelijke oordelen, het al enorm goed gesteld is met het securityniveau van Belgische organisaties of dat de controles dermate coulant zijn dat bedrijven boetes mogen voorkomen door zichzelf te beteren. Ongetwijfeld is het een combinatie van al deze factoren, in verschillende gradaties.
Nederland: complexiteit en trage besluitvorming
Toch is Nederland niet eens zo ver dat een wetsvoorstel is goedgekeurd. Er is in principe geen blokkade voor een mogelijke NIS2-implementatie ondanks het gevallen kabinet; het is niet controversieel verklaard. Minister Van Weel hamert er in zijn Kamerbrief op dat hij zijn wetsvoorstellen graag behandeld ziet. “Ik hoop dat beide wetten (Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten, red.) in het tweede kwartaal van 2026 in werking kunnen treden.”
De verklaring voor het uitstel is volgens Van Weel als volgt: “Hoewel de inspanningen er uiteraard steeds op gericht zijn geweest de omzetting van deze richtlijnen naar nationale wetgeving tijdig af te ronden, heeft het tot stand brengen van de vereiste wetgeving helaas meer tijd gekost. Dit komt doordat de omzetting naar nationale wetgeving een omvangrijk en complex traject is, waarbij grote zorgvuldigheid is vereist.”
“De Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten zullen immers aanzienlijke impact hebben op vele Nederlandse organisaties, zowel in de publieke sector als in de private sector”, stelt Van Weel. “Er zijn ten opzichte van bestaande wetgeving meer en nieuwe sectoren en significant meer organisaties die moeten voldoen aan de nieuwe wetgeving.”
De twee wetten
Vanwege deze complexiteit is ervoor gekozen om een onverplichte consultatie online te doen, iets dat volgens de minister “waardevolle reacties” heeft opgeleverd, maar dus ook een tragere besluitvorming. Gezien het feit dat de Cyberbeveiligingswet security voornamelijk hoger (dus relatief) op de agenda moet zetten, is het uitstel van de wet geen reden tot zorg. Zolang er maar méér over security gepraat wordt en er animo is om dit op bestuurlijk niveau te bespreken, doet de wetgeving wat het moet doen.
De Wet weerbaarheid kritieke entiteiten is van een wezenlijk andere aard, ook al wordt deze in één adem genoemd met de Cyberbeveiligingswet. Zoals Van Weel het uitlegt: “Het gaat hierbij om weerbaarheid ten aanzien van alle relevante door de natuur en door de mens veroorzaakte risico’s die de verlening van een essentiële dienst of diensten door een kritieke entiteit kunnen verstoren.” Deze toetsing moet eigenlijk allang plaatsvinden, maar wordt via deze wet op papier gezet met een grotere impact op organisaties. Immers is de CER-richtlijn, waaraan deze partijen moeten voldoen, precies dat: een richtlijn. De stap naar wet moet kritieke entiteiten ofwel verleners van essentiële diensten meer houvast geven. Voor eenieder die een zetje nodig heeft, had een snellere goedkeuring wellicht eerder een schop onder de kont kunnen geven. Desondanks moet het uitstel nooit een excuus zijn.
Lees ook: NIS2: Hoe IT-teams en MSP’s zich kunnen voorbereiden