Overheidsinstanties onder de Cyberbeveiligingswet
De overheid levert belangrijke diensten voor de samenleving en werkt vaak met gevoelige informatie. Daarom vallen verschillende overheidsinstanties onder de Cyberbeveiligingswet (Cbw), zodra deze van kracht wordt. Voor welke overheidsinstanties wordt de Rijksinspectie Digitale Infrastructuur (RDI) de toezichthouder? En waarmee moeten deze instanties rekeninghouden?
Overheidsinstanties onder ons toezicht
Onder het toezicht van de RDI vallen:
- Ministeries, inclusief hun diensten en agentschappen;
- Provincies;
- Gemeenten;
- Zelfstandige bestuursorganen (zbo's) op het niveau van de centrale overheid, voor zover zij voldoen aan de 4 criteria voor overheidsinstanties uit de Cbw;
- Gemeenschappelijke regelingen, voor zover zij voldoen aan de 4 criteria voor overheidsinstanties uit de Cbw.
U vindt de criteria voor overheidsinstanties en de interpretatie hiervan in de Memorie van Toelichting bij de Cyberbeveiligingswet(link naar andere website) onder 5.1.2.
Uitzonderingen
De toezichthouder van de waterschappen is de Inspectie Leefomgeving en Transport.
De Cbw is niet van toepassing op overheidsinstanties die hoofdzakelijk activiteiten uitvoeren op het gebied van de nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Dit geldt onder andere voor de veiligheidsregio’s, het ministerie van Defensie, het openbaar ministerie, MIVD, AIVD en de politie. Hiernaast geldt de Cbw ook niet voor de rechterlijke macht, de Eerste en Tweede Kamer en De Nederlandsche Bank.
Toezicht
U leest meer over ons toezicht op de webpagina Toezicht RDI op de Cyberbeveiligingswet.
Zorgplicht
De zorgplicht betekent dat een overheidsinstantie zelf moet zorgen voor passende maatregelen rondom cyberbeveiliging. Een startpunt is het voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). De BIO is het normenkader waarmee een overheidsorganisatie beleid, processen, rollen en maatregelen vastlegt om netwerk- en informatiebeveiliging systematisch te organiseren, te verbeteren en risico’s te beheersen. De BIO is gebaseerd op de internationale ISO 27001- en 27002-standaard, aangevuld met verplichte overheidsmaatregelen.
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) werkt momenteel aan een nadere invulling van de zorgplicht in een ministeriële regeling (MR).
Registratieplicht
Overheidsinstanties moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). De registratieplicht geldt vanaf de inwerkingtreding van de Cbw. Naar verwachting is dit Q2 2026. Het is nu al mogelijk om uw organisatie te registreren op mijn.ncsc.nl.
Het ministerie van BZK werkt momenteel uit hoe bij de registratie kan worden aangesloten bij het Register van Overheidsorganisaties.
Meldplicht
Ook de meldplicht geldt voor overheidsinstanties. Zodra de Cbw van kracht wordt, moeten overheidsinstanties significante incidenten melden binnen 24 uur na ontdekking. U kunt incidenten melden bij het sectorale Computer Security Incident Response Team (CSIRT).
Voor gemeenten is de Informatiebeveiligingsdienst (IBD) het CSIRT. Andere overheidsinstanties kunnen een significant incident melden bij de 24-uur hulp van het NCSC.
Het ministerie van BZK werkt in een ministeriële regeling verder uit wat een ‘significant incident’ is dat u verplicht moet melden.
Verantwoordelijkheden
Overheidsinstanties zijn zelf verantwoordelijk voor de eigen cyberbeveiliging. Ze kunnen bij het ministerie van BZK terecht voor beleidsmatige vragen. De toezichthouders gaan over de wijze waarop het toezicht op de naleving op de wet plaatsvindt.
Bestuurlijke verantwoordelijkheid
Voor de overheid geldt ook de bestuurlijke verantwoordelijkheid uit de Cbw. Daarbij horen verplichtingen, zoals het volgen van een opleiding of training.
|
Overheid |
Verantwoordelijk bestuurder |
|
Gemeenten |
College van burgemeester en wethouders |
|
Gemeenschappelijke regelingen |
Het dagelijks bestuur van het openbaar lichaam, het bestuur van de bedrijfsvoeringsorganisatie onderscheidenlijk het gemeenschappelijk orgaan. |
|
Provincies |
Gedeputeerde Staten |
|
Ministeries |
De Minister |
|
Zbo's van de centrale overheid |
Het zelfstandig bestuursorgaan |
Meer informatie
- Informatie over de Cbw van het ministerie van BZK: NIS2-richtlijn NIS2-richtlijn op de website van Digitale Overheid
- Memorie van Toelichting bij de Cbw over begrippen van het ministerie van Justitie en Veiligheid
- De beleidsrichtlijn, implementatierichtlijn en handreiking risicomanagement voor digitale weerbaarheid van CIO Rijk voor rijksoverheidsorganisaties.
- Informatie over de BIO (Baseline Informatiebeveiliging Overheid Cybersecurity - Digitale Overheid, - Home NL - bio-overheid en - Mapping NIS2-maatregelen NIS2-richtlijn - Digitale Overheid)
- Ondersteuning bij incidenten voor gemeenten - Informatiebeveiligingsdienst