De CER-richtlijn richt zich op de bescherming van zowel private als publieke organisaties tegen fysieke risico's, zoals gevolgen van terroristische bedreigingen, sabotage en natuurrampen.
De NIS2-richtlijn richt zich op de bescherming tegen cyberbeveiligingsrisico's van essentiële netwerk- en informatiesystemen van organisaties.
De planning voor de nationale implementatie van de Europese CER- en NIS2-richtlijnen heeft een wijziging ondergaan. In plaats van de oorspronkelijk geplande zomer van 2023, is besloten de internetconsultatieperiode te verschuiven naar het najaar van datzelfde jaar. Hierdoor worden de wetten naar verwachting pas eind 2024 van kracht.
Waarom is de planning aangepast? De implementatie van zowel de CER- als de NIS2-richtlijn is een complex en omvangrijk proces, met name omdat beide richtlijnen gezamenlijk worden geïmplementeerd. Naast de complexiteit heeft de invoering ook aanzienlijke gevolgen. Ten eerste worden er meer sectoren en organisaties onder de implementatiewet van de NIS2-richtlijn gebracht in vergelijking met de NIS1-richtlijn. Ten tweede wordt er ook meer gevraagd van betrokken sectoren en organisaties, aangezien beide richtlijnen beveiligingseisen en meldplicht voor incidenten bevatten. Ook voor de overheid heeft de implementatie aanzienlijke gevolgen vanwege het vereiste toezicht en de CSIRT-taken.
Vanwege de complexiteit en impact is het van cruciaal belang om het wetsvoorstel zorgvuldig en helder uit te werken, zodat alle betrokken partijen weten wat er van hen wordt verwacht. Om voldoende tijd te kunnen nemen voor dit proces, is besloten om meer tijd te besteden aan het opstellen van de wetsvoorstellen. Deze zullen vervolgens in het najaar van 2023 ter consultatie worden voorgelegd.