Cyberbeveiligingswet

Voor welke organisaties geldt de Cyberbeveiligingswet?

De Cyberbeveiligingswet geldt voor essentiële en belangrijke organisaties in verschillende sectoren, zoals energie, ruimtevaart, onderzoek, digitale infrastructuur en overheid. Ook grotere bedrijven in andere sectoren kunnen onder de wet vallen. Dit gaat bijvoorbeeld om bedrijven met meer dan 50 medewerkers, of met een jaaromzet en/of balanstotaal van meer dan 10 miljoen euro. Ook toeleveranciers of dochterbedrijven van zulke organisaties kunnen onder de wet vallen. Dit hangt af van hun rol in de keten.

Benieuwd of uw organisatie aan de Cwb moet voldoen? 

Hoofdpunten van de Cbw

Valt u onder de Cbw? Dan gelden er een aantal verplichtingen:

Registratieplicht
Organisaties moeten zich registreren. Dit heet de registratieplicht. U moet uw gegevens doorgeven voor het entiteitenregister register. Ga voor registratie naar het Nationaal Cyber Security Centrum.

Zorgplicht
Organisaties waarvoor de Cyberbeveiligingswet geldt, zijn verantwoordelijk voor goede beveiliging. U moet maatregelen nemen om te zorgen dat er geen grote problemen ontstaan. 

Meldplicht
Zodra de Cyberbeveiligingswet van kracht is, zijn organisaties die onder deze wet vallen verplicht om significante cyberincidenten te melden. Doet zich een incident met aanzienlijke gevolgen voor? Dan meldt u dit bij ons én bij een Computer Security Incident Response Team (CSIRT). Voor aanbieders van essentiële diensten is het NCSC het aangewezen CSIRT. Digitale dienstverleners schakelen het CSIRT-DSP in.
 

Bestuurlijke aansprakelijkheid en opleidingsplicht

Het bestuur is eindverantwoordelijk voor governance en risicobeheersing van de organisatie als geheel. Dit geldt ook voor de cyberveiligheid van de organisatie. Zodra de Cyberbeveiligingswet van kracht is, wordt van bestuurders verwacht dat zij een training volgen. In deze training leren zij hoe ze risico’s voor de beveiliging van hun organisatie kunnen herkennen en beoordelen.

Wat verandert er met de komst van de Cbw?

Op het moment dat de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De Cyberbeveiligingswet geldt bovendien voor meer organisaties en stelt strengere eisen aan digitale weerbaarheid. Dit betekent onder andere:

• Verplichtingen op het gebied van risicobeheer, zoals technische en organisatorische beveiligingsmaatregelen;
• Een grotere focus op de beveiliging van de toeleveringsketen van organisaties;
• Meldplicht bij ernstige incidenten: organisaties moeten ernstige cyberincidenten binnen 24 uur melden bij het Nationaal Cyber Security Centrum (NCSC) of bij de Rijksinspectie Digitale Infrastructuur (RDI);
• Toezicht en handhaving: de RDI en andere toezichthouders krijgen meer bevoegdheden om naleving af te dwingen;
• Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Voorbereiden op de Cbw: waar begint u?

Hoewel de wet nog in voorbereiding is, is het belangrijk om nu al te starten met voorbereiden.

• Breng in kaart of uw organisatie (mogelijk) onder de Cbw valt. Doe daarvoor de NIS2-Quickscan. 
• Toets of de huidige cybersecuritymaatregelen van uw organisatie aan de eisen van NIS2 voldoen. Doe daarvoor de NIS2 Zelfevaluatie NL.
• Voer een risicoanalyse uit en breng uw risico’s in kaart
• Breng afhankelijkheden in uw toeleveringsketen in kaart
• Betrek actief het bestuur en management bij de voorbereiding.

Wilt u weten wat u als organisatie nog meer kan doen? Bekijk de informatiebrochure Cyberbeveiligingswet NIS2-richtlijn op de website van de NCTV.

Meer informatie

De RDI bereidt zich voor op haar rol als toezichthouder op de Cyberbeveiligingswet. Tot de wet in werking treedt, vindt u op deze pagina praktische informatie, hulpmiddelen en antwoorden op veelgestelde vragen.