Tijdlijn Cybersecurity Wet- en Regelgeving
De Europese Unie heeft een hoeveelheid aan wetgeving voor Cybersecurity gemaakt. Dit betekent dat we de komende jaren met veel nieuwe wetgeving te maken gaan krijgen als sector. In dit overzicht beperken we ons tot wetgeving die specifieke cybersecurity eisen stelt. Wetgeving waarin ook cybersecurity-gerelateerde bepalingen staan (zoals de AI Act) laten we hier buiten beschouwing, zie daarvoor ons overzicht Europese wetgeving.
Als NLdigital richten we ons primair op de nieuwe Network & Information Security Directive (NIS2) en de Cyber Resilience Act (CRA). De NIS2 wordt in Nederland uitgewerkt in de Cyberbeveiligingswet (Cbw). Verder houden we de ontwikkeling van cybersecurity certificering schema’s rondom de Cybersecurity Act (CSA) in de gaten zoals de EUCC (EU Common Criteria) en EUCS (Cloud Services). In dit schema staan ook de Digital Operational Resilience Act (DORA), welke sectorspecifieke eisen voor de financiële sector (en hun IT-leveranciers) bevat die boven op de NIS2 komen (lees meer hierover bij de DNB). En tot slot ook de Radio Equipment Directive (RED) die cybersecurityeisen stelt aan draadloos communicerende apparaten zoals routers, babyfoons en slimme deurbellen (lees meer hierover bij de RDI). De RED wordt op den duur door de CRA vervangen.
2024
- 11 december: CRA wordt is formeel van kracht en de invoeringstermijnen gaan lopen.
- 18 oktober: De datum waarop de NIS2 in werking zou moeten treden. De handhaving is echter afhankelijk van de implementatie die in veruit de meeste lidstaten nog niet rond is. Dit verschilt per land, bijvoorbeeld Nederland haalt deze deadline niet (zie 2025).
2025
- Q2 (verwacht): Wetsbehandeling Cyberbeveiligingswet (Nederlandse NIS2).
- 17 januari: handhaving van DORA vereisten gaat in.
- Q3 (verwacht): De Cyberbeveiligingswet (Nederlandse NIS2) treedt in werking. Hiermee wordt de Wbni (Nederlandse NIS1) vervangen.
- 1 augustus: De RED eisen aan IoT apparaten treden in werking.
2026
- 11 september: CRA-meldplicht (artikel 14) treedt in werking voor cybersecurityproblemen met software- & hardware-producten.
2027
- 11 december: Overige CRA verplichtingen voor software- en hardware-producten treden in werking. Hiermee wordt ook de RED vervangen.
Gerelateerde artikelen
Stappenplan NIS2 richtlijn
Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software
