Registratieplicht Cyberbeveiligingswet

Wat houdt de registratieplicht in?

De registratieplicht verplicht organisaties die onder de Cbw vallen om zich te registreren in het nationale entiteitenregister. Dit register wordt in Nederland beheerd via Mijn.NCSC.nl. Registratie kan nu al vrijwillig, maar wordt verplicht zodra de wet in werking treedt medio 2026.

Welke gegevens moet u aanleveren?

Bij registratie levert u kerngegevens van uw organisatie aan, zoals:

• De naam en het adres van uw organisatie;
• De sector waarin u actief bent;
• De lidstaten waar u diensten levert;
• Actuele contactgegevens;
• Indien van toepassing: IP-ranges en andere technische gegevens.

Hoe bereidt u zich voor op de registratie?

De registratieplicht is een belangrijke stap in het versterken van de digitale weerbaarheid van uw organisatie, maar ook van Nederland. Voor u betekent het dat u inzichtelijk maakt wie u als organisatie bent, wat uw organisatie doet en hoe uw organisatie bereikbaar is. Door nu al voorbereidingen te treffen, zorgt u dat u straks soepel voldoet aan de verplichtingen.

Als organisatie kunt u zich nu al voorbereiden op de registratieplicht:

1. Controleer of u in scope valt. De Rijksinspectie Digitale Infrastructuur (RDI) biedt hulpmiddelen, zoals de Quickscan en en de Zelfevaluatie.
2. Verzamel de benodigde gegevens. Denk aan juridische gegevens, contactinformatie en technische details.
3. Wijs een verantwoordelijke aan. Iemand binnen uw organisatie moet eigenaar zijn van de registratie en wijzigingen tijdig doorvoeren. Dit kan de bestuurder of de CISO van uw organisatie zijn.
4. Regel toegang tot Mijn.NCSC.nl. Dit doet u via eHerkenning.
5. Bouw interne processen in. Zorg ervoor dat wijzigingen op tijd worden doorgegeven, bijvoorbeeld bij een fusie of wijziging van IP-ranges. U heeft twee weken de tijd om deze wijzigingen door te geven.

Partijen die onder één rechtsgebied vallen

De volgende organisaties die in meerdere lidstaten actief zijn, moeten rekening houden met de vraag onder welke rechtsgebied zij vallen:

• DNS-dienstverleners;
• Registers voor topleveldomeinnamen;
• Entiteiten die domeinnaamregistratiediensten verlenen;
• Aanbieders van cloudcomputingdiensten;
• Aanbieders van datacentra;
• Aanbieders van netwerken voor de levering van inhoud;
• Aanbieders van beheerde diensten;
• Aanbieders van beheerde beveiligingsdiensten;
• Aanbieders van onlinemarktplaatsen;
• Aanbieders van onlinezoekmachines;
• Aanbieders van platforms voor socialenetwerkdiensten.

In principe registreert u zich in de lidstaat waar uw hoofdvestiging zich bevindt en die daarom jurisdictie heeft. Dit voorkomt dubbele registratie en zorgt voor heldere verantwoordelijkheden bij incidenten en toezicht. Andere soorten organisaties dienen zich wel in elke EU-lidstaat apart te registreren.

Europese registratie

Naast het entiteitenregister in Nederland bestaat er een Europees register dat wordt bijhouden door het Europees Agentschap voor Cyberbeveiliging (ENISA). Lidstaten leveren informatie uit hun nationale registers aan bij ENISA. Deze informatie gaat over organisaties binnen de sectoren Digitale Infrastructuur, Beheer van ICT-diensten en Digitale aanbieders Daardoor heeft ENISA een overzicht van deze essentiële en belangrijke entiteiten binnen de Europese Unie (EU). Dit zorgt ervoor dat de EU beter inzicht krijgt in de digitale weerbaarheid en de onderlinge afhankelijkheden binnen deze sectoren.

Goed voorbereid op digitale verplichtingen

De registratieplicht is een wettelijke verplichting en wordt actief gehandhaafd. Wanneer u niet of niet juist registreert, kan dit leiden tot maatregelen zoals een boete of een last onder dwangsom. Door op tijd te registreren voorkomt u sancties. Bovendien ontvangt u relevante dreigingsinformatie vanuit het NCSC, waarmee u uw organisatie nog digitaal weerbaarder kunt maken.