Er is een NIS2, een Cbw, een AMvB en die hebben allemaal met elkaar te maken. En er komen nog ministeriële regelingen aan. Gesneden koek voor juristen, maar niet iedereen is jurist. Dit Cbweetje geeft de samenhang weer, waarbij we vaktermen vermijden of proberen uit te leggen.
De NIS2 is een ‘directive’ (richtlijn) vanuit de Europese Unie. Lidstaten moeten een ‘directive’ binnen een bepaalde tijd omzetten in een wet voor hun eigen land. In het geval van de NIS2 was de deadline hiervoor 17 oktober 2024. De meeste EU-lidstaten, waaronder Nederland, hebben deze deadline niet gehaald. Hierdoor hebben organisaties in Nederland die onder de NIS2 vallen bepaalde rechten gekregen, maar nog geen verplichtingen.
Conceptwet
De NIS2 wordt in Nederlandse wet omgezet via de Cyberbeveiligingswet, afgekort tot Cbw. De Cbw heeft een eerste conceptversie gekend, waarop iedereen in een consultatieperiode feedback heeft kunnen geven. Deze feedback is beoordeeld en er is dus een nieuwe versie. Deze conceptversie is openbaar: https://wetgevingskalender.overheid.nl/Regeling/WGK014627
De conceptwet wordt achtereenvolgens in de Tweede Kamer en in de Eerste Kamer behandeld. Na goedkeuring in beide Kamers wordt de wet definitief. De huidige verwachting is dat dit in het derde of vierde kwartaal van 2025 zal zijn. Dit wetgevingstraject vindt plaats onder verantwoordelijkheid van het ministerie van Justitie en Veiligheid en geldt voor alle sectoren.
Cyberbeveiligingsbesluit
Een wet kan verder uitgewerkt worden in een zogenaamde Algemene Maatregel van Bestuur (AMvB). De Cbw kent een dergelijke uitwerking, met de naam ‘Cyberbeveiligingsbesluit’. In de AMvB is bijvoorbeeld de zorgplicht die in de Cbw staat, verder uitgewerkt. Voor deze AMvB loopt nu een consultatieperiode, vergelijkbaar met de consultatieperiode van de Cbw zelf afgelopen jaar. De consultatieperiode van de AmvB duurt tot en met 30 maart 2025.
De consultatieversie van de AMvB is openbaar: https://www.internetconsultatie.nl/cyberbeveiligingsbesluit/b1;
Een AMvB kan door de verantwoordelijke minister worden vastgesteld en hoeft dus niet langs de Tweede Kamer en Eerste Kamer. Daardoor kan de AMvB waarschijnlijk gelijk met de Cbw zelf definitief worden. Ook de AMvB geldt voor alle sectoren.
Per sector
Sommige onderwerpen zijn belangrijk om per sector te regelen. Dan kan een minister die verantwoordelijk is voor zo’n sector een ministeriële regeling maken onder de AMvB. Dat kan pas als de AMvB klaar is. Het ministerie van VWS wil dit doen, om bijvoorbeeld Z‑CERT aan te wijzen als ‘sectoraal CSIRT voor de gezondheidszorg’ en om de meldplicht voor incidenten voor de zorg uit te werken. De tekst van deze regeling is nog niet bekend omdat de AMvB nog niet klaar is. Wordt vervolgd!