De Afdeling advisering van de Raad van State heeft op 19 februari 2025 adviezen vastgesteld over de voorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Beide adviezen zijn op 24 februari 2025 gepubliceerd op de website van de Raad van State.
In de Cyberbeveiligingswet wordt een Europese richtlijn omgezet die gaat over het verhogen van de cyberveiligheid. Dat komt omdat cyberrisico’s toenemen en de samenleving daartegen moet worden beschermd. De Cyberbeveiligingswet legt daarom vast dat bedrijven en overheidsorganisaties maatregelen moeten treffen om cyberrisico’s te voorkomen (zorgplicht). Daarnaast moeten zij een melding doen bij een gebeurtenis waardoor de cyberveiligheid wordt bedreigd (meldplicht).
In de Wet weerbaarheid kritieke entiteiten wordt ook een Europese richtlijn omgezet in Nederlandse wetgeving. Deze richtlijn gaat over het verhogen van de fysieke weerbaarheid van bedrijven en overheidsorganisaties. Hierdoor worden essentiële diensten beschermd die belangrijk zijn voor maatschappelijke en economische functies. Ook deze wet legt verplichtingen op, die ongeveer gelijk zijn aan die in de Cyberbeveiligingswet. Ook op basis van deze wet is een vergelijkbare zorg- en meldplicht.
Coördinatie
De voorstellen bevatten regels voor organisaties in meerdere sectoren. De minister die verantwoordelijk is voor het beleid in een sector wordt ook verantwoordelijk voor de veiligheid en weerbaarheid van die sector en mag daarover besluiten nemen. Tegelijk krijgt de minister van Justitie en Veiligheid in de wet een coördinerende rol. De Afdeling adviseert de regering ten eerste om in de toelichting bij het wetsvoorstel uit te leggen hoe de minister van Justitie en Veiligheid uitvoering geeft aan zijn coördineerde taak. Daarnaast adviseert zij om in de toelichting uit te leggen waarom de minister van Justitie en Veiligheid bij besluiten van andere ministers niet mee hoeft te ondertekenen, maar alleen geraadpleegd hoeft te worden.
Toezicht
Volgens de wetsvoorstellen kunnen ministers toezicht houden op de cyberveiligheid en weerbaarheid van bedrijven en overheidsorganisaties. Toezicht wordt niet alleen uitgevoerd door ministers, maar ook door zelfstandige bestuursorganen. Dat zijn organisaties met een overheidstaak die niet onder het gezag van een ministerie vallen. De Afdeling advisering concludeert dat deze taken kunnen overlappen met de bevoegdheden om toezicht te houden op cyberveiligheid en weerbaarheid van ministers. Een voorbeeld van zo’n zelfstandig bestuursorgaan is de Autoriteit Nucleaire Veiligheid en Stralingsbescherming. De Afdeling advisering adviseert de regering om te zorgen voor een duidelijke taakafbakening tussen ministers en de zelfstandige bestuursorganen.
Uitzonderingen
Niet alle overheidsorganisaties hoeven te voldoen aan de regels uit de wetsvoorstellen. Er is namelijk in de wet een algemene uitzondering opgenomen voor overheidsorganisaties die taken uitvoeren op het gebied van nationale en openbare veiligheid, defensie of rechtshandhaving. De Afdeling adviseert de regering om deze uitzondering zoveel mogelijk te verduidelijken door in de wet te omschrijven welke organisaties niet aan de regels van de wet hoeven te voldoen.
