Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 januari 2024

Met deze brief informeer ik uw Kamer over de stand van zaken van de implementatie van twee Europese richtlijnen: de nieuwe richtlijn netwerk- en informatiebeveiliging (de NIS2-richtlijn, ter vervanging van de NIS1-richtlijn) en de richtlijn weerbaarheid kritieke entiteiten (de CER-richtlijn).1^, 2 Als coördinerend bewindspersoon voor cybersecurity en de bescherming van vitale infrastructuur voer ik regie op de implementatie van beide richtlijnen. Mijn ministerie werkt samen met de betrokken vakdepartementen aan de totstandkoming van de wetsvoorstellen ter implementatie van de richtlijnen in nationale wetgeving. Dit is een omvangrijk en complex traject dat uiterste zorgvuldigheid vergt, juist ook vanwege de impact voor de publieke en private sector.

Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht. De conceptwetsvoorstellen zullen naar verwachting voor de zomer van 2024 in consultatie worden gebracht. Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeer ik dat de implementatiedeadline van de Europese Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald. Na verwerking van de consultatiereacties zullen de wetsvoorstellen aan de Afdeling advisering van de Raad van State worden voorgelegd voor advies. Ik streef ernaar de wetsvoorstellen vervolgens in het najaar van dit jaar aan uw Kamer aan te bieden.

Ik hecht eraan te benadrukken dat de voorbereidingen van de implementatiewetten samen met de vakdepartementen met onverminderde inspanning worden voortgezet. Ook blijft het van belang dat bedrijven en organisaties niet afwachten totdat de nieuwe wet- en regelgeving volledig duidelijk is, maar nu al maatregelen nemen ter bescherming van de continuïteit van hun bedrijfsprocessen. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Voor sommige organisaties gelden al verplichtingen op grond van huidige wet- en regelgeving, zoals de Wet beveiliging netwerk- en informatiesystemen (Wbni). Daarnaast schrijven de CER- en NIS2-richtlijn een aantal concrete maatregelen voor waar de bedrijven en organisaties zich nu al op kunnen voorbereiden. Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen en aanvullen door deze te detecteren, te monitoren, op te lossen en te melden. Mijn ministerie en de betrokken vakdepartementen bieden hierbij ondersteuning. Het volledige overzicht van maatregelen die bedrijven en organisaties nu al kunnen nemen om zich voor te bereiden, evenals verdere informatie over de richtlijnen, is te vinden op de website van de NCTV.3

Ik zal uw Kamer op de hoogte houden van de voortgang van de implementatie.

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius