De Cyberbeveiligingswet loopt een enorme vertraging op. De Nederlandse implementatie van de Europese NIS2-richtlijn treedt op zijn vroegst in het tweede kwartaal van 2026 in werking. Het lukt ambtelijk Justitie maar niet om tempo te maken. Als het een beetje tegenzit, gaat de omzetting naar nationale wetgeving nog veel langer duren.
Mogelijk treedt de wet pas in de tweede helft van volgend jaar in werking: ongeveer twee jaar later dan de Europese Commissie had voorgeschreven. Aanvankelijk had de wet al medio oktober 2024 moeten zijn ingevoerd.
Toen die datum onhaalbaar bleek, werd als nieuwe deadline het derde kwartaal van dit jaar gesteld. Maar minister David van Weel (Justitie en Veiligheid) ziet hier niets van terechtkomen. Zo blijkt uit een brief aan de Tweede Kamer. Ook de Wet weerbaarheid kritieke entiteiten, de implementatie van de zogeheten CER-richtlijn, wil maar niet vlotten.
Complex traject
Het ministerie zoekt troost in het feit dat lidstaten als Duitsland en Frankrijk ook achterlopen, aldus een bijlage bij de brief. Maar bijvoorbeeld België had de Cyberbeveiligingswet wel op tijd klaar. Ook landen als Griekenland, Slowakije en Litouwen hadden daar weinig moeite mee.
Van Weel geeft als reden voor de vertragingen dat de omzetting van de EU-richtlijnen in wetgeving een omvangrijk en complex traject is, waarbij grote zorgvuldigheid vereist is. De val van het kabinet werkt evenmin bevorderlijk.
Het ziet er echter niet naar uit dat de Cyberbeveiligingswet controversieel wordt verklaard waardoor dit wetsvoorstel niet kan worden ingediend. Van Weel vraagt de Tweede Kamer om een spoedige behandeling van de wetsvoorstellen. Hij is van plan om de concepten van de algemene maatregelen van bestuur onder de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten onverplicht toe te zenden aan de Tweede Kamer, zodat die deze amvb’s (= algemene maatregel van bestuur) kan betrekken bij de behandeling van de wetsvoorstellen.
