Tijdlijn: van EU-richtlijnen naar nationale wetgeving

Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de CER- en NIS2-richtlijnen naar nationale wetgeving die gaat gelden voor diverse sectoren. Het ministerie van Justitie en Veiligheid is verantwoordelijk voor de coördinatie van de implementatie van beide richtlijnen in de Nederlandse wetgeving. Het ministerie van Volksgezondheid, Welzijn en Sport is verantwoordelijk voor de aansluiting en implementatie van (lagere) wetgeving in de sector zorg. Hierbij wordt de onderstaande planning gevolgd. Dit is een indicatieve planning.

2022

  • Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad. Op 9 december 2022 is de CER-richtlijn vastgesteld.
  • Op 27 december zijn de NIS2- en CER-richtlijn gepubliceerd in de Official Journal van de Europese Unie.

2023

  • In januari 2023 is de implementatietermijn van 21 maanden gestart, waarin de richtlijnen moeten worden opgenomen in nationale wetgeving.

2024

  • In mei 2024 start een internetconsulatie periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De publicatie in de internetconsultatie geeft inzicht in de conceptwetteksten. Dit geeft organisaties op hoofdlijnen inzicht in wat er van hen wordt verwacht, als ze straks aan de wet moeten voldoen. Dat wil niet zeggen dat de conceptwetteksten al meteen alles duidelijk maken.
    o    De NIS2-richtlijn wordt omgezet in de nationale Cyberbeveiligingswet. De internetconsultatie voor deze wet vindt u hier.
    o    De CER-richtlijn wordt omgezet in de nationale Wet weerbaarheid kritieke entiteiten. De internetconsultatie voor deze wet vindt u hier.
  • Na afloop van de internetconsultatie worden alle reacties bekeken en waar nodig verwerkt in de wetsvoorstellen. De resultaten worden in een verslag op hoofdlijnen gepubliceerd door het ministerie van Justitie en Veiligheid.
  • De wetteksten van de CER- en de NIS2-richtlijnen worden gedetailleerder uitgewerkt in een algemene maatregel van bestuur (AmvB). Ook voor de AMvB’s van beide richtlijnen vindt een internetconsultatie periode plaats van 6 weken waarin burgers, bedrijven en overheidsinstellingen wederom mogelijke verbeteringen kunnen aangeven.

2025

  • Vervolgens stelt het ministerie van VWS sectorspecifieke regelgeving gericht op de zorg op in de vorm van een Ministeriële regeling.
  • Vanaf 2025 zullen ministeries per sector organisaties aanwijzen die onder de CER-richtlijn vallen. Wanneer VWS een organisatie in de sector zorg aanwijst als kritieke entiteit, ontvangt deze organisatie hierover bericht. Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.
  • Naar verwachting zullen de wetten in 2025 in werking treden, nadat deze door het parlement zijn behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan alle verplichtingen uit de wet voldoen, zoals de zorgplicht, de registratieplicht en de meldplicht.


Wacht niet af, kom in actie!

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Lees hier meer over wat organisaties in de zorg kunnen doen om zich voor te bereiden.