Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen
De Tweede Kamer heeft op woensdag 15 april de Cyberbeveiligingswet (Cbw) aangenomen. De wet raakt 8.000 tot 10.000 organisaties in Nederland. Veel van onze leden vallen er zelf onder, en nog meer leden ondersteunen klanten die eronder vallen. De wet zet vele organisaties aan hun cybersecurity aantoonbaar te maken, te verbeteren en incidenten te melden door middel van een zorgplicht, meldplicht en registratieplicht. Het is goed nieuws dat de Kamer de wet op meerdere punten heeft verbeterd. Een aantal van de amendementen en moties die zijn aangenomen sluiten direct aan bij de aandachtspunten die NLdigital voorafgaand aan het debat aan de Kamer heeft meegegeven.
Wat heeft de Kamer verbeterd?
Interventiebevoegdheid verankerd in de wet zelf: Ons meest urgente punt dat we samen met o.a. VNO-NCW en FME gemaakt hadden was dat de vergaande bevoegdheid om bedrijven te verplichten producten of diensten van specifieke leveranciers te weren, niet thuishoort in een AMvB maar in de wet zelf. Het amendement-Kathmann (GroenLinks-PvdA) doet precies dat: de interventiebevoegdheid is verplaatst naar de wet, met verankering van het last-resort-principe en hoor en wederhoor. Dit is goed voor de rechtszekerheid rondom een zeer ingrijpende bevoegdheid.
Eén centraal meldportaal: De stapeling van meldplichten uit verschillende wetten was een reëel knelpunt. De motie-Kathmann voor één centraal meldportaal is aangenomen. Dat zet het kabinet ertoe aan ervoor te zorgen dat bedrijven hun meldingen uit de Cbw, DORA, CRA en andere wetgeving straks op één plek kunnen doen. In plaats van een uitgebreid meldingendoolhof op het moment dat alle aandacht naar het incident zelf zou moeten gaan.
Beperking dubbele toezichtslast: Eerder aangenomen moties zorgen ervoor dat bedrijven die onder meerdere wetten vallen, te maken krijgen met één aanspreekpunt, herbruikbare bewijslast, één auditkalender en geen dubbele beboeting voor hetzelfde feitencomplex. De minister had in het debat al bevestigd dat dubbele beboeting juridisch is uitgesloten op grond van de Algemene wet bestuursrecht.
Parlementaire controle op de zorgplicht: De Cbw delegeert veel aan lagere regelgeving. Het amendement-Kathmann voor een voorhangprocedure op wijzigingen in de zorgplicht is aangenomen. Toekomstige aanpassingen aan de zorgplicht moeten eerst aan beide Kamers worden voorgelegd. Dat is een belangrijke waarborg voor het vervolgtraject.
Snelle evaluatie en invoeringstoets: Het amendement-Van den Berg (JA21) regelt een evaluatie van de Cbw binnen twee jaar na inwerkingtreding, plus een invoeringstoets binnen achttien maanden naar onder meer de uitvoerbaarheid, regeldruk en werking van het meld- en registratiesysteem. Eerder stond een termijn van vijf jaar in de wet.
Europese harmonisatie als blijvend aandachtspunt: Een gelijk speelveld binnen de EU is een fundamentele voorwaarde voor de digitale interne markt. Dit punt heeft in het parlementaire proces minder aandacht gekregen dan wij nodig achten. NLdigital blijft hierop inzetten, zowel richting het kabinet als in Europees verband via onze koepel Digital Europe. Nationale koppen op Europese cybersecurityregelgeving benadelen Nederlandse bedrijven en ondermijnen ons vestigingsklimaat.
Wanneer treedt de wet in werking?
Het wetsvoorstel gaat nu naar de Eerste Kamer, waar eerst een schriftelijke vragenronde volgt en daarna een plenaire behandeling. Parallel wordt gewerkt aan de onderliggende regelgeving, het advies van de Raad van State op de algemene maatregel van bestuur (het Cyberbeveiligingsbesluit) die meer details van de Cbw uitwerkt wordt binnenkort verwacht. Daarnaast wachten we ook nog op de sectorale ministeriële regelingen die het Cyberbeveiligingsbesluit per sector nader invullen.
De ambitie van het kabinet is inwerkingtreding voor de zomer, maar de gangbare doorlooptijden in de Eerste Kamer maken het waarschijnlijker dat de wet na de zomer in werking treedt. Bij een zeer voorspoedige behandeling is inwerkingtreding per 1 juli niet uitgesloten, dus organisaties doen er goed aan daar alvast rekening mee te houden. De overheid heeft aangegeven de intentie te hebben het Cyberbeveiligingsbesluit en de ministeriële regelingen gereed te hebben wanneer de wet ingaat.
Ga aan de slag
Ongeacht de exacte datum: de wet komt eraan en de eisen zijn op hoofdlijnen bekend. Wacht niet op de inwerkingtreding, maar begin nu met de voorbereiding. Ons Cyberbeveiligingswet (NIS2) stappenplan helpt je op weg. NLdigital blijft het vervolgtraject uiteraard actief volgen.
Nieuw!
Bereid je goed voor op de Cyberbeveiligingswet (NIS2), met ons vernieuwde stappenplan
Cyberbeveiligingswet (NIS2) Stappenplan
Het laatste nieuws
Week vd Digitalisering | Doe mee: dit is ons moment
Europa: geen kopieertaks op Spotify-downloads
CRA-meldplicht: wat moet je weten vóór 11 september 2026?
Nieuw whitepaper om Cybersecurity in de bestuurderskamer te krijgen
