Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 31 januari 2024
Met deze brief informeer ik uw Kamer over de stand van zaken van de implementatie
van twee Europese richtlijnen: de nieuwe richtlijn netwerk- en informatiebeveiliging
(de NIS2-richtlijn, ter vervanging van de NIS1-richtlijn) en de richtlijn weerbaarheid
kritieke entiteiten (de CER-richtlijn).1,
2 Als coördinerend bewindspersoon voor cybersecurity en de bescherming van vitale infrastructuur
voer ik regie op de implementatie van beide richtlijnen. Mijn ministerie werkt samen
met de betrokken vakdepartementen aan de totstandkoming van de wetsvoorstellen ter
implementatie van de richtlijnen in nationale wetgeving. Dit is een omvangrijk en
complex traject dat uiterste zorgvuldigheid vergt, juist ook vanwege de impact voor
de publieke en private sector.
Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste
instantie werd verwacht. De conceptwetsvoorstellen zullen naar verwachting voor de
zomer van 2024 in consultatie worden gebracht. Gelet op de benodigde vervolgstappen
in het wetgevingstraject concludeer ik dat de implementatiedeadline van de Europese
Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald. Na
verwerking van de consultatiereacties zullen de wetsvoorstellen aan de Afdeling advisering
van de Raad van State worden voorgelegd voor advies. Ik streef ernaar de wetsvoorstellen
vervolgens in het najaar van dit jaar aan uw Kamer aan te bieden.
Ik hecht eraan te benadrukken dat de voorbereidingen van de implementatiewetten samen
met de vakdepartementen met onverminderde inspanning worden voortgezet. Ook blijft
het van belang dat bedrijven en organisaties niet afwachten totdat de nieuwe wet-
en regelgeving volledig duidelijk is, maar nu al maatregelen nemen ter bescherming
van de continuïteit van hun bedrijfsprocessen. Organisaties die nu al in actie komen
beveiligen zich niet alleen tegen bestaande risico’s, maar zijn straks ook beter voorbereid
op de komst van de nieuwe wetgeving. Voor sommige organisaties gelden al verplichtingen
op grond van huidige wet- en regelgeving, zoals de Wet beveiliging netwerk- en informatiesystemen
(Wbni). Daarnaast schrijven de CER- en NIS2-richtlijn een aantal concrete maatregelen
voor waar de bedrijven en organisaties zich nu al op kunnen voorbereiden. Zo kunnen
zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder
het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures
bij incidenten verder aanscherpen en aanvullen door deze te detecteren, te monitoren,
op te lossen en te melden. Mijn ministerie en de betrokken vakdepartementen bieden
hierbij ondersteuning. Het volledige overzicht van maatregelen die bedrijven en organisaties
nu al kunnen nemen om zich voor te bereiden, evenals verdere informatie over de richtlijnen,
is te vinden op de website van de NCTV.3
Ik zal uw Kamer op de hoogte houden van de voortgang van de implementatie.
De Minister van Justitie en Veiligheid,
D. Yeşilgöz-Zegerius