Beide wetten treden op 15 augustus 2026 in werking. De Rijksinspectie Digitale Infrastructuur (RDI) gaat dan toezicht houden op duizenden organisaties uit negen sectoren.
Cyberbeveiligingswet: wat betekent dit voor organisaties?
De Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn in Nederland en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Organisaties zijn zelf verantwoordelijk om te toetsen of ze onder de Cyberbeveiligingswet vallen.
De Cyberbeveiligingswet geldt voor essentiële of belangrijke organisaties. De RDI gaat toezicht houden op de volgende sectoren:
|
|
Nieuwe verplichtingen
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder meer te maken met:
- Registratieplicht: Organisaties moeten zich registreren in het entiteitenregister via het Nationaal Cyber Security Centrum (NCSC).
- Zorgplicht: Organisaties moeten maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen daarvan te beperken.
- Meldplicht: Organisaties moeten significante incidenten binnen de wettelijke termijnen melden aan hun CSIRT en bevoegde autoriteit via het meldportaal.
- Bestuurlijke verantwoordelijkheid: Het bestuur is eindverantwoordelijk voor cyberrisicobeheersing. Bestuurders moeten beschikken over voldoende kennis om risico’s en beveiligingsmaatregelen te kunnen beoordelen en volgen daarvoor een passende training.
Domeinnaamregistratiegegevens
De Cyberbeveiligingswet stelt ook specifieke regels voor registers voor topleveldomeinnamen en organisaties die domeinnamen registreren. Er gelden verplichtingen voor het bijhouden van gegevens en verlenen van toegang hiertoe. Ook hier gaat de RDI toezicht op houden.
Registratieplicht per 15 augustus
Het is belangrijk voor organisaties die onder de Cyberbeveiligingswet vallen, om zich voor te bereiden op de Cyberbeveiligingswet. Eén van de eerste stappen is het registeren van de organisatie bij het Nationaal Cyber Security Centrum via mijn.ncsc.nl. Dit is per 15 augustus verplicht.
Wet weerbaarheid kritieke entiteiten
De Wet weerbaarheid kritieke entiteiten implementeert de Europese CER-richtlijn in Nederland. Het doel van die richtlijn is om de kritieke infrastructuur en economische activiteiten in Europa zo goed mogelijk te beschermen tegen allerlei soorten dreigingen, zoals de gevolgen van terroristische misdrijven, sabotage en natuurrampen.
Een organisatie valt onder de Wet weerbaarheid kritieke entiteiten als deze door de vakminister wordt aangewezen als zogeheten kritieke entiteit. De RDI gaat toezicht houden op organisaties die zijn aangewezen door de minister van Klimaat en Groene Groei of de minister van Economische Zaken en Klimaat uit de sectoren:
- Energie
- Digitale Infrastructuur
- Ruimtevaart
Meer weten?
Lees meer over de Cyberbeveiligingswet en over de Wet weerbaarheid kritieke entiteiten.