De Raad van State heeft twee adviezen uitgebracht over de implementatie van de NIS2-richtlijn in Nederland: één over de Cyberbeveiligingswet (Cbw) en één over het Cyberbeveiligingsbesluit (Cbb). Het Cbb is een algemene maatregel van bestuur (AMvB) bij de Cbw. Het eerste RvS-advies dateert van februari 2025, het tweede van mei 2026. Samen schetsen ze het volgende beeld: de wetgever heeft haast, maar de uitwerking roept vragen op over de verdeling van verantwoordelijkheid, privacybescherming en transparantie. Ik zet het op een rij voor je in deze blog.

Eerst de Cyberbeveiligingswet zelf

Wie doet wat, en wie controleert wie?

Bij de Cyberbeveiligingswet had de Raad van State vier kritiekpunten.

Ten eerste de reikwijdte. De wet bevat een algemene uitzondering voor overheidsorganisaties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, maar welke organisaties daar precies onder vallen werd niet uitgewerkt. De Afdeling (bestuursrechtspraak van de Raad van State) vond dat onacceptabel vaag: de reikwijdte van een wet moet uit de wet zélf blijken. Dat advies is opgevolgd: in het aangepaste wetsvoorstel staan het ministerie van Defensie, de MIVD, de AIVD, het Openbaar Ministerie, de politie en de veiligheidsregio's nu expliciet benoemd in artikel 5 Cbw.

Ten tweede de coördinatie. De minister van Justitie en Veiligheid heeft een coördinerende rol, terwijl vakministers als bevoegde autoriteit worden aangewezen. De Afdeling stelde dat niet inzichtelijk was hoe die coördinerende taak in de praktijk werkt en waarom JenV bij sommige besluiten van vakministers alleen hoeft te worden geraadpleegd, niet mede te ondertekenen. Het nader rapport (reactie op het RvS-advies) maakt onderscheid: bij "na overleg met" beslist de vakminister zelf; bij "in overeenstemming met" heeft JenV een blokkerende stem. Dat is op zich een helder antwoord, maar de praktijk zal uitwijzen of dit onderscheid voldoende houvast geeft bij echte meningsverschillen tussen beide ministers.

Ten derde het toezicht op zelfstandige bestuursorganen (zbo’s). De wet maakt ministers bevoegde autoriteit, maar voor sommige entiteiten houden zbo's al toezicht op basis van andere wetten. De Afdeling noemde de ANVS als voorbeeld: voor kerncentrales zou straks zowel de minister van Infrastructuur en Waterstaat als de ANVS toezicht houden. De regering antwoordt dat toezichthouders samenwerkingsafspraken moeten maken. Dat is een pragmatische oplossing, maar geen structurele. Samenwerkingsafspraken zijn immers geen wetgeving. Zelfs in het privacydomein kon (en kan) er nog onenigheid bestaan over toezicht en daarom zijn er diverse samenwerkingsprotocollen.

Ten vierde het toezicht op de sector overheid zelf (dus ook: het ministerie van Binnenlandse Zaken). De Rijksinspectie Digitale Infrastructuur (RDI), onderdeel van het ministerie van Economische Zaken, gaat toezicht houden op overheidsinstanties als essentiële entiteiten. Omdat beide ministeries zelf ook onder de Cbw vallen, vroeg de Afdeling hoe de vereiste operationele onafhankelijkheid wordt geborgd. Het antwoord verwijst naar de Aanwijzingen inzake de rijksinspecties. Die aanwijzingen zijn zinvol, maar ze zijn geen harde wettelijke waarborg. Wie de overheid controleert, blijft in dit stelsel een kwetsbaar punt. En nu leert juist de ervaring dat de overheid zelf nog weleens wacht met in beweging komen tot het vooruitzicht van een handhavende toezichthouder.

"Wie de overheid controleert, blijft in dit stelsel een kwetsbaar punt. En nu leert juist de ervaring dat de overheid zelf nog weleens wacht met in beweging komen tot het vooruitzicht van een handhavende toezichthouder."

Persoonsgegevens blijven lastig

De kritiek op de privacyaspecten van de Cbw kwam van twee kanten: zowel de Autoriteit Persoonsgegevens (jun 2024) als de Raad van State (feb 2025) signaleerden gebreken. De AP constateerde de volgende drie problemen.

  1. Ten eerste bevatte het concept aanvankelijk geen bewaartermijn, ook niet in de toelichting, terwijl de DPIA (niet kunnen vinden) al uitging van 60 maanden.
  2. Ten tweede was uit de samenwerkingsartikelen niet op te maken welke soorten persoonsgegevens uitgewisseld mogen worden, zonder dat daarvoor een dwingende delegatiegrondslag bestond.
  3. Ten derde was de grondslag voor verwerking van bijzondere categorieën persoonsgegevens weliswaar aanwezig, maar alleen als kan-bepaling: de AP eiste een dwingendere (imperatieve) formulering over welke categorieën noodzakelijk zijn voor de taken van het CSIRT en de bevoegde autoriteit.

De Raad van State sloot daarbij aan en adviseerde de grondslag te beperken en passende waarborgen op te nemen.

Wat is ervan terechtgekomen?
De bewaartermijn voor bijzondere persoonsgegevens bij CSIRT's is verkort naar 12 maanden. De grondslag voor de bevoegde autoriteit is ingeperkt tot de daadwerkelijke taakvelden. Maar de door de AP gevraagde dwingende categorisering bij AMvB is niet volledig doorgevoerd. En de 120 maanden als algemene bewaartermijn voor ministeriële gegevens, die de Raad van State in het Cbb vervolgens ook als te ruim beoordeelde (zie hieronder), laat zien dat de gevraagde differentiatie per taak slechts gedeeltelijk is uitgewerkt.

De vraag welke persoonsgegevens precies mogen worden verwerkt en uitgewisseld in het kader van de Cbw, blijft daarmee onvoldoende scherp beantwoord.

En dan nu het Cyberbeveiligingsbesluit

Een AMvB met losse eindjes?

Het Cyberbeveiligingsbesluit, vastgesteld in mei 2026, werkt de zorgplicht, meldplicht en CSIRT-structuur verder uit. De Raad van State bracht binnen een week advies uit: dat tempo zegt iets over de urgentie, maar ook over de beperkte ruimte voor diepgravend onderzoek.

De vier kritiekpunten zijn compacter dan bij de wet, maar niet minder scherp.

Het eerste punt gaat over bewaartermijnen. Persoonsgegevens die door verantwoordelijke ministers worden verwerkt, krijgen een maximale bewaartermijn van 120 maanden. De Afdeling vindt die termijn te ruim: de noodzaak om alle gegevens tien jaar te bewaren is niet aangetoond. De meeste gegevens zijn geen historische gegevens, maar actuele contactgegevens zoals e-mailadressen en telefoonnummers. Een langere termijn is alleen gerechtvaardigd voor gegevens die noodzakelijk zijn voor lopende toezichtstrajecten en bestuursrechtelijke procedures. Dat lijkt me toch een terechte opmerking. Tien jaar bewaren, omdat een klein deel van de gegevens dat misschien nodig heeft, is geen toepassing van het beginsel van dataminimalisatie

Het tweede punt betreft een bewaartermijn die in de praktijk nooit eindigt. Voor het nationale register van essentiële en belangrijke entiteiten geldt een termijn van 60 maanden na de laatste bevestiging van de juistheid van de gegevens. De Afdeling merkt op dat dit criterium de deur openzet voor onbeperkte verlenging: elke herbevestiging start de termijn opnieuw. Dat is een vaker voorkomende wetgevingsfout die bij AVG-implementaties voorkomt. Een objectieve begindatum, gekoppeld aan registratie of statuswijziging, is de voor de hand liggende oplossing.

Het derde punt betreft vertrouwelijke meldcriteria. Het Cbb maakt het mogelijk dat een vakminister per besluit vaststelt in welke gevallen een specifieke entiteit een significant incident moet melden. Die criteria hoeven niet openbaar te worden gemaakt, omdat openbaarheid voor bepaalde entiteiten onaanvaardbare veiligheidsrisico's kan opleveren. De Raad van State begrijpt die keuze, maar stelt een praktische vraag: voor overheidsinstanties als bestuursorganen geldt een algemene geheimhoudingsplicht op grond van artikel 2:5 Awb. Maar die biedt geen handhavingsmogelijkheid bij schending. Contractuele of strafrechtelijke grondslagen zijn dan het enige alternatief, maar die zijn in de toelichting niet uitgewerkt. Dus hoe moet dat dan?

Het vierde punt raakt de positie van CSIRT's. Het ontwerpbesluit laat vakministers toe om via ministeriële regeling een eigen CSIRT aan te wijzen voor hun sector, waarmee zij de bevoegdheid van de minister van JenV als algemeen CSIRT kunnen inperken zonder formele instemming van JenV. De Afdeling stelt dat een ministeriële regeling bedoeld is voor administratieve voorschriften en details, niet voor belangrijke beleidsbeslissingen, en adviseert alle CSIRT's bij AMvB aan te wijzen. Ik deel die analyse. Z-CERT, de IBD en CERT-WM zijn genoemde kandidaten. Dat zijn geen kleine technische aanpassingen: ze structureren een groot deel van de Cbw uitvoering. Dat niveau verdient een AMvB (en dus mét de bijbehorende parlementaire betrokkenheid).

En dan nog de nabrander: de toelichting bij het Cbb gaat niet in op de nafase na een significant incident. De Afdeling noemt het evalueren van zorgplichtmaatregelen als wettelijke verplichting, maar ook niet-verplichte stappen zoals nazorg aan personeel en aanvullende trainingen. In de praktijk is de nafase waar organisaties de meeste lessen leren en tegelijk de meeste schade oplopen door vermoeidheid en onduidelijkheid over verantwoordelijkheden. Ik vind dat wel een goed punt. De nafase is geen sluitpost: wie na een serieus incident niet evalueert, leert onvoldoende en herhaalt eerder. Op z’n minst een verwijzing naar bestaande instrumenten, zoals de Themalijst Nafase en herstel (Bijlage B, p.35) uit het Nationaal Handboek Crisisbeheersing, had in de toelichting niet misstaan.

"De nafase is geen sluitpost: wie na een serieus incident niet evalueert, leert onvoldoende en herhaalt eerder. "

Wat betekent dit voor de praktijk?

Hopelijk een kwestie van puntjes op de i

De adviezen van de Raad van State zijn (wetgeving)technisch van aard, maar de consequenties zijn best concreet. Organisaties die onder de Cbw vallen, zullen misschien merken dat de uitvoeringsstructuur op sommige punten nog niet is uitgedacht. Wie is nu mijn bevoegde autoriteit als ik zowel onder een sectorale toezichthouder val als onder de Cbw? Welk CSIRT ondersteunt mij bij een incident? De doorverwijsboom Cbw-organisaties biedt lang niet voor iedere organisatie die onder de Cbw valt een sluitend antwoord. En hoe lang bewaren betrokken instanties de meldingen?

Die vragen zijn terecht wat mij betreft: de Cbw treedt in werking voor een verwachte groep van ruim 8.000 entiteiten (organisaties). Een deel van die organisaties zijn gemeenten, waterschappen en rijksdiensten die ook al met de BIO2 werken. Voor hen stapelt de regelgeving zich op: BIO2, Cbw, Cbb, en voor sommigen ook de Wet weerbaarheid kritieke entiteiten (Wwke). Ga d'r maar aan staan.

De adviezen van de Raad van State laten zien dat de wetgever de juiste richting kiest, maar op enkele punten (te?) snel werkt. Het is goed dat die kritiek er is. De vraag is nu of het advies van de RvS op het Cyberbeveiligingsbesluit net zo serieus wordt genomen (en overgenomen) als bij de Cbw het geval was. Daarop heb ik goede hoop! Wordt vervolgd.

Share on