Wetsvoorstel (02-06-2025) houdende regels ter implementatie van Richtlijn 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening 910/2014 en Richtlijn 2018/1972 en tot intrekking van Richtlijn 2016/1148 (PbEU 2022, L 333) (Cyberbeveiligingswet)

—De te implementeren richtlijn wordt de NIS2-richtlijn genoemd en heeft tot doel een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te bereiken, om de werking van de interne markt te verbeteren. De belangrijkste onderdelen van de NIS2-richtlijn zijn:

1. Verruimde reikwijdte: Het aantal sectoren dat onder het bereik van de richtlijn valt is uitgebreid naar onder meer de sectoren afvalwater, ruimtevaart, post- en koeriersdiensten, afvalstoffenbeheer, onderzoek met het oog op commerciële doeleinden en productie, verwerking en distributie van levensmiddelen. Ook is het aantal subsectoren binnen de sectoren, die in de NIS1-richtlijn worden genoemd, uitgebreid.
2. Richtlijn eerder van rechtswege van toepassing: in tegenstelling tot NIS1 is ten aanzien van een groot deel van de entiteiten in de NIS2-richtlijn bepaald dat zij van rechtswege onder het toepassingsbereik van de richtlijn vallen indien zij voldoen aan bepaalde criteria, zoals omvang.
3. Drie soorten entiteiten: De NIS1-richtlijn maakt een onderscheid tussen aanbieders van essentiële diensten en digitale dienstverleners. Met de NIS2-richtlijn is er een nieuw onderscheid, namelijk dat van essentiële entiteiten en belangrijke entiteiten. Dit onderscheid komt tot uiting in het toezichtsregime, dat voor essentiële entiteiten uitgebreider is. De NIS2-richtlijn introduceert een derde categorie entiteiten, namelijk entiteiten die domeinnaamregistratiediensten verlenen.
4. Verplichtingen: De NIS2-richtlijn bevat diverse verplichtingen voor entiteiten, zoals die over het nemen van maatregelen voor het beheersen van cyberbeveiligingsrisico’s (zorgplicht), het melden van significante incidenten (meldplicht) en de verplichting om informatie te verstrekken ten behoeve van het register van het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa).
5. Domeinnaamregistratiegegevens: Het onderhouden van een database van domeinnaamregistratiegegevens is essentieel om de beveiliging, stabiliteit en weerbaarheid van het DNS te waarborgen. Voor dat doel volgt uit de richtlijn dat registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, verplicht worden bepaalde gegevens te verwerken die daartoe nodig zijn.
6. Toezicht en handhaving: De NIS2-richtlijn bevat enkele bevoegdheden voor de toezichthouder die nieuw zijn in het Nederlands (bestuurs)recht. Het gaat o.m. om de bevoegdheid om een termijn te stellen waarbinnen de essentiële entiteit wordt verzocht noodzakelijke maatregelen te nemen om tekortkomingen te verhelpen of aan de eisen van de toezichthoudende instantie te voldoen.
7. Verplichtingen voor lidstaten:

• • vaststellen van een nationale cyberbeveiligingsstrategie;
  • aanwijzen van computer security incident response teams (CSIRT’s), een centraal contactpunt, toezichtsautoriteiten en autoriteiten die verantwoordelijk zijn voor het beheersen van grootschalige cyber­beveiligingsincidenten;
  • samenwerken op nationaal, EU- en internationaal niveau.

Implementatie

Nederland implementeert de richtlijn in één centrale, nieuwe wet (de Cyberbeveiligingswet) en niet in sectorale wetten. Een van de keuzes die bij de implementatie is gemaakt is om gemeenten, provincies, waterschappen en gemeenschappelijke regelingen als essentiële entiteit aan te merken en onderwijsinstellingen als essentiële of belangrijke entiteit. De richtlijn had al op 17 oktober 2024 omgezet moeten zijn.

Kamerstukken

• TK 2024/25, 36764, nr. 1
• TK 2024/25, 36764, nr. 2
• TK 2024/25, 36764, nr. 3
• TK 2024/25, 36764, nr. 4