Kamer komt met verbeteringen voor Cyberbeveiligingswet, stemmingen komende 2 weken
Op 23 maart debatteerde de Tweede Kamer over de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Vanuit NLdigital volgde Jelmer Schreuder het debat en zet hij hieronder zijn belangrijkste observaties op een rij. Het ziet er optimistisch uit: de voorstellen van de Tweede Kamer kunnen de wet verbeteren op meerdere punten. Maar de stemming moet nog komen, over de moties wordt in de week van 30 maart gestemd en over de wet en amendementen de week daarna.
Wat stond er op het spel?
De Cyberbeveiligingswet raakt 8.000 tot 10.000 organisaties in Nederland. Veel van onze leden vallen er zelf onder, en vrijwel alle leden ondersteunen klanten die eronder vallen. De digitale sector heeft via meerdere consultaties en via een brief aan de Kamer constructief-kritisch bijgedragen aan de totstandkoming van deze wet.
Twee weken voor het debat stuurden we onze inbreng naar de commissieleden, met vijf concrete aandachtspunten. Hieronder nemen we eerst deze punten door en gaan we daarna in op overige observaties.
1. Interventiebevoegdheid hoort in de wet zelf
Dit was ons meest urgente punt. Via het Cyberbeveiligingsbesluit (de AMvB) had de minister een vergaande bevoegdheid geïntroduceerd om bedrijven te verplichten producten of diensten van specifieke leveranciers te weren. Een zorgplicht oprekken tot een ministeriële interventiebevoegdheid via lagere regelgeving: dat zet een gevaarlijk precedent. Wij pleitten ervoor dit op wetsniveau te verankeren, met expliciete waarborgen zoals een ultimum-remedium-principe, hoor en wederhoor, en beroepsmogelijkheden.
Kamerlid Kathmann (GroenLinks-PvdA) diende hiervoor een amendement in dat precies deze lijn volgt. De minister gaf dit amendement oordeel Kamer (positief oordeel). Het amendement verplaatst de interventiebevoegdheid naar de wet zelf en verankert het als laatste redmiddel. Daarmee blijft de lagere wetgeving wat het hoort te zijn: een uitwerkingsdocument, geen plek voor zelfstandige nieuwe bevoegdheden.
2. Meldplichten worden beheersbaar: één loket in zicht
De stapeling van meldplichten is een reëel knelpunt voor de sector. Bij een groot incident moet een organisatie tegelijk meldingen doen voor zichzelf en klanten ondersteunen bij de Cbw, de AVG, DORA, CRA en meer. Bij meerdere toezichthouders, juist op het moment dat alle aandacht naar de aanval zelf moet gaan.
De minister heeft in het debat een concrete toezegging gedaan: er komt één meldloket bij het NCSC voor zowel de Cbw als de Wwke. Bovendien bevestigde hij dat ook meldingen op basis van DORA (financiële sector), de CRA (Cyber Resilience Act) en de netcode voor elektriciteit onder dat loket vallen. Dat is een goede eerste stap, maar laat bijvoorbeeld de AVG nog buiten beschouwing. Kamerlid Kathmann diende ook een motie in om dit loket door te trekken naar alle relevante wetgeving. Die motie ligt volgende week ter stemming. NLdigital steunt die richting van harte. Ook liggen er goede moties van Kamerlid Van den Berg van JA21 die bezien op dubbel toezicht.
3. Risico-gebaseerde aanpak, minister noemt ISO 27001 expliciet
NLdigital steunt de risico-gebaseerde benadering van de Cyberbeveiligingswet. Dit maakt de uitwerking meer proportioneel, maatwerk per organisatie, geen one-size-fits-all. Maar die aanpak heeft een keerzijde: organisaties weten niet altijd of ze de zorgplicht goed invullen.
In het debat gaf de minister een relevante uitspraak die houvast biedt: “Bij die beoordeling kunnen ze gebruikmaken van bestaande normenkaders, zoals de ISO 27001 en verschillende hulpmiddelen vanuit de Rijksoverheid.” Dit is een expliciete ministeriële bevestiging dat ISO 27001 een deugdelijke basis vormt voor de invulling van de zorgplicht. Daarop gebaseerde kaders als BIO2 en NEN7510 voor overheid en zorg waren reeds opgenomen in de ministeriële regelingen voor die sectoren.
Dat is relevant debatcontext die organisaties én toezichthouders kunnen gebruiken. De minister kondigde ook aan dat de vakministers via sectorale ministeriële regelingen verdere richtlijnen uitwerken. Wij blijven pleiten voor proactieve communicatie vanuit NCSC en toezichthouders over welke standaarden en methoden helpen de zorgplicht onder de wet in te vullen.
4. Parlementaire controle op AMvBs
De Cyberbeveiligingswet delegeert veel aan lagere regelgeving. Dat was al vroeg een zorg van NLdigital, en het bleef een punt van debat. De minister verdedigde de aanpak maar erkende tegelijkertijd dat de Kamer betrokken moet blijven.
Ook op dit punt was het Kathmann die een amendement indiende. Haar amendement verplicht de minister tot een zogenaamde voorhangprocedure op de zorgplicht in het Cyberbeveiligingsbesluit: toekomstige wijzigingen aan de zorgplicht moeten eerst aan beide Kamers worden voorgelegd. De minister gaf dit amendement oordeel Kamer. Deze toevoeging zou een belangrijke waarborg voor het vervolgtraject zijn en komt tegemoet aan een deel van onze zorgen.
Aanvullend zegde de minister toe een schriftelijk overzicht te sturen van alle onderdelen van de wet die nog uitgewerkt moeten worden via lagere wetgeving, inclusief verwachte termijnen. Tot op heden is altijd gecommuniceerd dat deze gereed zouden moeten zijn bij het ingaan van de wet.
5. Europese harmonisatie: blijvend aandachtspunt
Een gelijk speelveld binnen de EU is een fundamentele voorwaarde voor het functioneren van de digitale interne markt. Nederlandse bedrijven die aan strengere of afwijkende eisen moeten voldoen dan hun Europese concurrenten, ondervinden een structureel nadeel.
Dit punt heeft in het debat onvoldoende aandacht gekregen. NLdigital blijft hierop inzetten, ook in Europees verband via onze koepel Digital Europe.
Wat verder opvalt uit het debat:
- Groepsregistratie per 1 april beschikbaar. Organisaties die deel uitmaken van een groep kunnen zich straks als groep registreren op MijnNCSC en meldingen laten doen door één contactpersoon. De minister bevestigde dat dit per 1 april 2026 operationeel is.
- Dubbele beboeting is juridisch uitgesloten. De minister verwees naar artikel 5:43 van de Algemene wet bestuursrecht: voor hetzelfde feitencomplex kan niet twee keer een boete worden opgelegd, ook niet als meerdere toezichthouders betrokken zijn.
- Evaluatie versneld naar twee jaar. In de wet staat een vijfjaarstermijn, maar de minister deed een toezegging: binnen twee jaar na inwerkingtreding volgt een eerste evaluatie, waarbij ook de regeldruk wordt meegenomen.
- Samenwerkingsafspraken toezichthouders worden openbaar. De minister zegde toe dat de afspraken tussen toezichthouders vóór inwerkingtreding worden gepubliceerd in de Staatscourant. Dat geeft bedrijven houvast over wie bij welk incident het eerste aanspreekpunt is.
Wanneer gaat de wet in?
Dat is afhankelijk van de wetgevingsstappen. Ervan uitgaande dat de wet in de week van 6 april aangenomen wordt gaat dan de teller lopen voor de Eerste Kamer en publicatie in het Staatsblad. Gemiddeld kost een behandeling in de Eerste Kamer ongeveer 2 maanden, en de publicatie in het staatsblad een kwestie van weken. Daarmee lijkt een ingangsdatum rond 1 juli haalbaar als alles gestaag doorloopt, maar ook niet onmogelijk dat het over de zomer heen getild wordt richting 1 september.
Wat nu?
Volgende week dinsdag stemt de Kamer over de moties, de week erna over de amendementen en het wetsvoorstel zelf. De amendementen die voor ons het meest van belang zijn hebben oordeel Kamer gekregen (zo positief als mogelijk). Maar dat betekent niet dat ze vanzelf worden aangenomen, dat is nu aan de partijen in de Tweede Kamer. Heeft u contacten met de Tweede Kamer? Spreek uw steun uit voor deze amendementen (Kathmann) en voor de moties over voorkomen dubbel toezicht (Van den Berg) over het centrale meldloket (Kathmann).
NLdigital blijft het vervolgtraject actief monitoren: de sectorale ministeriële regelingen, de samenwerkingsafspraken van toezichthouders en de eerste evaluatie zijn allemaal momenten waarop de praktijk van de digitale sector ingebracht moet worden. We houden u op de hoogte.
Het laatste nieuws
Europa: geen kopieertaks op Spotify-downloads
Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen
CRA-meldplicht: wat moet je weten vóór 11 september 2026?
Nieuw whitepaper om Cybersecurity in de bestuurderskamer te krijgen
