Ga direct naar inhoud

Cyberbeveiligingswet

Door de snelle digitalisering wordt het steeds belangrijker om netwerken en informatiesystemen goed te beveiligen. Daarom heeft de Europese Unie de NIS2-richtlijn vastgesteld. In Nederland wordt deze richtlijn omgezet in nationale wetgeving: de Cyberbeveiligingswet (Cbw). Deze nieuwe wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).

Voor welke organisaties geldt de Cyberbeveiligingswet?

De Cyberbeveiligingswet geldt voor essentiële en belangrijke organisaties in verschillende sectoren, zoals energie, ruimtevaart, onderzoek, digitale infrastructuur en overheid. Ook grotere bedrijven in andere sectoren kunnen onder de wet vallen. Dit gaat bijvoorbeeld om bedrijven met meer dan 50 medewerkers, of met een jaaromzet en/of balanstotaal van meer dan 10 miljoen euro. Ook toeleveranciers of dochterbedrijven van zulke organisaties kunnen onder de wet vallen. Dit hangt af van hun rol in de keten.

Benieuwd of uw organisatie aan de Cwb moet voldoen? 

Doe de NIS2-Quickscan

Hoofdpunten van de Cbw

Valt u onder de Cbw? Dan gelden er een aantal verplichtingen:

Registratieplicht
Organisaties moeten zich registreren. Dit heet de registratieplicht. U moet uw gegevens doorgeven voor het entiteitenregister. Ga voor registratie naar het Nationaal Cyber Security Centrum.

Zorgplicht
Organisaties waarvoor de Cyberbeveiligingswet geldt, zijn verantwoordelijk voor goede beveiliging. U moet maatregelen nemen om te zorgen dat er geen grote problemen ontstaan. 

Meldplicht
Zodra de Cyberbeveiligingswet van kracht is, zijn organisaties die onder deze wet vallen verplicht om significante cyberincidenten te melden. Doet zich een incident met aanzienlijke gevolgen voor? Dan meldt u dit bij ons én bij een Computer Security Incident Response Team (CSIRT). U kunt een incident melden via Incident melden | Nationaal Cyber Security Centrum; Gemeenten melden via IBD .

Bestuurlijke verantwoordelijkheid en opleidingsplicht

Het bestuur is eindverantwoordelijk voor governance en risicobeheersing van de organisatie als geheel. Dit geldt ook voor de cyberbeveiliging van de organisatie. Zodra de Cyberbeveiligingswet van kracht is, wordt van bestuurders verwacht dat zij een training volgen. In deze training leren zij hoe ze risico’s voor de beveiliging van hun organisatie kunnen herkennen en beoordelen. 

Lees meer over de bestuurlijke verantwoordelijkheid.

Wat verandert er met de komst van de Cbw?

Op het moment dat de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De Cyberbeveiligingswet geldt bovendien voor meer organisaties en stelt strengere eisen aan digitale weerbaarheid. Dit betekent onder andere:

  • Verplichtingen op het gebied van risicomanagement, zoals technische en organisatorische beveiligingsmaatregelen;
  • Een grotere focus op de beveiliging van de toeleveringsketen van organisaties;
  • Meldplicht bij ernstige incidenten binnen 24 uur;
  • Toezicht en handhaving: de RDI en andere toezichthouders krijgen meer bevoegdheden om naleving af te dwingen;
  • Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Voorbereiden op de Cbw: waar begint u?

Hoewel de wet nog in voorbereiding is, is het belangrijk om nu al te starten met voorbereiden.

  • Breng in kaart of uw organisatie (mogelijk) onder de Cbw valt. Doe daarvoor de NIS2 Zelfevaluatie NL.
  • Toets of de huidige cybersecuritymaatregelen van uw organisatie aan de eisen van NIS2 voldoen. Doe daarvoor de NIS2-Quickscan
  • Voer een risicoanalyse uit en breng uw risico’s in kaart
  • Breng afhankelijkheden in uw toeleveringsketen in kaart
  • Betrek actief het bestuur en management bij de voorbereiding.

Wilt u weten wat u als organisatie nog meer kan doen? Bekijk de informatiebrochure Cyberbeveiligingswet NIS2-richtlijn op de website van de NCTV.