Nederland is een stapje dichterbij een vertaling van de NIS2-richtlijn naar nationale wetgeving. Het concept Cyberbeveiligingsbesluit ligt nu bij de Tweede Kamer voor behandeling samen met het wetsvoorstel Cyberbeveiligingswet. De regeling werkt de Nederlandse implementatie van de Europese NIS2-richtlijn verder uit, terwijl organisaties worden opgeroepen zich al voor te bereiden op de nieuwe verplichtingen.
In de algemene maatregelen van bestuur (amvb) worden verschillende onderwerpen uit de wet nader uitgewerkt. Dit is gebeurd op basis van een consultatieperiode tussen 20 februari en 30 maart van dit jaar. De zorgplicht staat centraal; organisaties krijgen concrete handvatten over welke maatregelen ze moeten treffen. Voor enkele ministeries zoals Binnenlandse Zaken en Volksgezondheid geldt dat bestaande normenkaders al grotendeels aansluiten bij NIS2-eisen; hier is dus geen extra werk nodig. Zo bouwen overheid en gezondheidszorg voort op respectievelijk de Baseline Informatiebeveiliging Overheid (BIO) 2 en normen als NEN7510 en ISO27001.
Andere ministeries brengen juist sectorspecifieke regelingen in consultatie. Economische Zaken, Infrastructuur en Waterstaat, Klimaat en Groene Groei plus Landbouw hebben al delen van hun zorgplichtnormen aan publieke toetsing onderworpen. Deze ministeriële regelingen bevatten onder meer drempelwaarden voor incidentmeldingen.
Aanpassingen na consultatie
De ontwikkeling van het Cyberbeveiligingsbesluit verloopt stapsgewijs. Tussen februari en maart van dit jaar heeft het Digital Trust Center (DTC) het concept in consultatie gebracht bij organisaties en overheden. De reacties hebben geleid tot aanpassingen in de algemene maatregel van bestuur (amvb), zo meldt het DTC. Een aparte paragraaf in de nota’s van toelichting legt uit hoe consultatiereacties zijn verwerkt.
Het besluit is een tussenstap voordat het langverwachte wetsvoorstel Cyberbeveiligingswet wordt ingediend. Eerder werd door de regering gesteld dat dit in het tweede kwartaal van 2026 op zijn vroegst zal plaatsvinden, hoewel de demissionaire status van het huidige kabinet en de komende verkiezingen en formatieperiode wellicht roet in het eten kunnen gooien. Die Europese richtlijn wil kritieke, essentiële en belangrijke organisaties weerbaar maken tegen cyberdreigingen en statelijke aanvallen. Idealiter was dit al vóór 17 oktober 2024 geregeld, maar deze deadline werd door slechts zes van de 27 lidstaten gehaald.
Alvast aan de slag
Het Rijk roept organisaties op om niet af te wachten tot de wetgeving officieel van kracht is. “De maatregelen die organisaties vanuit de zorgplicht moeten nemen, kosten tijd en aandacht”, zo staat te lezen in de aankondiging. Het NCSC geeft uitgebreide informatie over voorbereidingsstappen die organisaties nu al kunnen zetten.
Deze oproep komt op een moment dat veel Nederlandse organisaties nog onvoldoende voorbereid zijn. Onderzoek toonde aan dat bijna een kwart van de securityprofessionals nog nooit van NIS2 had gehoord (!), ondanks dat de regeling dit jaar zou moeten ingaan. Dat is vrij opmerkelijk gezien de enorme impact die het op tienduizenden organisaties zal hebben.
Wie wel op de hoogte is van NIS2 maar meer informatie vereist, kan op vele plekken terecht. Voor vragen over de Cyberbeveiligingswet heeft het DTC bijvoobreeld een speciale NIS2-themaruimte opgericht op de DTC Community. Dit online platform verbindt ondernemers en cybersecurityprofessionals om ervaringen uit te wisselen. De NCTV heeft daarnaast FAQ’s en achtergrondinfo gepubliceerd over rechten, plichten en de planning van het wetgevingsproces.