Ga direct naar inhoud

Toezicht RDI op de Cyberbeveiligingswet (Cbw)

Hoe houdt de Rijksinspectie Digitale Infrastructuur (RDI) toezicht op de Cyberbeveiligingswet (Cbw), zodra deze van kracht wordt? Nu nog houdt de RDI toezicht op basis van de voorloper van de Cbw: de Wet beveiliging netwerk- en informatiesystemen (Wbni). Zodra de Cbw ingaat, verdwijnt deze wet. Sommige organisaties zijn dus al bekend met de RDI; voor andere organisaties is het nieuw om onder ons toezicht te staan. We vertellen graag hoe we werken.

Toezicht draagt bij aan de verhoging van de digitale weerbaarheid. Als toezichthouder heeft de RDI een groot pallet aan middelen om de naleving van de wet en regels te bevorderen. In het algemeen geldt dat als een organisatie haar cyberbeveiliging goed op orde heeft, zij minder kans maakt om onder het vergrootglas van de toezichthouder te komen.

Toezicht op sectoren

De Cbw maakt onderscheid tussen essentiële en belangrijke entiteiten. Welke sector essentieel of belangrijk is, leest u op de webpagina 'Sectoren die onder toezicht RDI vallen'. Beide entiteiten moeten voldoen aan dezelfde basisverplichtingen, maar er is een verschil in toezicht. Voor essentiële entiteiten geldt proactief toezicht. De RDI kan bijvoorbeeld om informatie vragen of bij u langskomen. Voor belangrijke entiteiten vindt toezicht voornamelijk achteraf plaats, bijvoorbeeld in geval van een incident.

Verantwoordelijkheid organisaties voor cyberbeveiliging

De Cbw verplicht organisaties om haar cyberbeveiliging op orde te hebben. Hiervoor is een organisatie zelf verantwoordelijk. In de wet staan verplichtingen, zoals de registratie-, meld- en zorgplicht. Op basis van bijvoorbeeld de zorgplicht, moet een organisatie maatregelen nemen die passen bij de risico's die een organisatie loopt. We adviseren u dan ook om de risico’s van uw organisatie goed in kaart te brengen en eventueel maatregelen te nemen. Op basis van de eisen uit de wet beoordelen we de cyberbeveiliging van uw organisatie.

Kennis opdoen en delen

Om ons toezicht goed uit te voeren, doet de RDI zelf zoveel mogelijk kennis op over de organisaties en de sectoren waarop we toezicht houden. We bouwen steeds meer kennis op, omdat we informatie verzamelen. Dat doen we bijvoorbeeld via eigen onderzoek, inspecties of doordat organisaties informatie verstrekken. Daardoor krijgen we een steeds beter inzicht in wat wel en niet werkt. En ook: wat wel en niet goed gaat in een bepaalde sector.

We vinden het belangrijk om onze kennis te delen. Dat doen we in onze gesprekken met organisaties die onder ons toezicht vallen. Ook delen we onze kennis graag met andere organisaties, zoals andere toezichthouders en brancheorganisaties. Daarom geven we bijvoorbeeld regelmatig presentaties en zijn aanwezig op congressen.

Formeel en informeel kennismaken

Zodra de Cbw van kracht wordt, maken we graag kennis met de organisaties die onder ons toezicht vallen. Hoe we dat doen, kan per sector en zelfs per organisatie verschillen. We kunnen u bijvoorbeeld vragen om een vragenlijst in te vullen of informatie met ons te delen. Het kan ook zijn dat we u benaderen voor een kennismakingsgesprek.

Bevoegdheden inspecteurs

Onder de Cbw hebben onze inspecteurs dezelfde speciale bevoegdheden als bij de andere wetten waarop we al toezicht houden. Deze bevoegdheden staan in de Algemene wet bestuursrecht (Awb). Het gaat om speciale bevoegdheden, zoals:

  • Het opvragen van informatie en documenten;
  • Toegang krijgen tot locaties die wij moeten controleren;
  • Het onderzoeken van producten of processen.

Vormen van inspecties

We hebben de volgende inspectievormen:

  • Reguliere inspecties

Waar we gaan inspecteren, bepalen wij op basis van de impact die bijvoorbeeld uitval van een netwerk op burgers en organisaties heeft. Op basis van risico’s van een organisatie of sector plannen we reguliere inspecties in. We kijken naar hoe de organisatie de cyberbeveiliging en (IT) bedrijfsvoering heeft ingericht. We kijken of u goed zicht heeft op de risico’s in uw organisatie en of u passende beheersmaatregelen heeft genomen.

We kunnen op verschillende manieren informatie over uw organisatie verzamelen. Zo mogen we u vragen om een vragenlijst in te vullen of documentatie met ons te delen. Of we gaan in gesprek met u over uw beleid en systemen. Ook mogen we ter plekke uw systemen inkijken. Als we u vragen om informatie, dan bent u verplicht hieraan mee te werken.

  • Thema inspecties

Soms inspecteren we gericht op een bepaald onderwerp binnen een bepaalde sector. Bijvoorbeeld de omgang met data of naleving op een onderdeel van een wet. Voorbeelden van een aanleiding zijn een digitale ontwikkeling, een actualiteit of maatschappelijke onrust.

  • Inspecties naar aanleiding van incidenten

Een incident kan aanleiding zijn voor een inspectie. U moet een significant incident altijd melden bij de CSIRT. U heeft immers meldplicht. Nadat het incident is opgelost en afhankelijk van het type incident, kan de RDI besluiten tot een onderzoek. Dat onderzoek richt zich dan op hoe het incident heeft kunnen plaatsvinden en of passende maatregelen zijn genomen om herhaling te voorkomen. We koppelen onze bevindingen terug aan de organisatie. Indien nodig koppelen we ook terug aan andere toezichthouders of beleidsmakers. In geval van overtreding, kunnen we bijvoorbeeld verbeteracties voorstellen, een boete opleggen of een andere maatregel nemen.
Als een significant incident heeft plaatsgevonden, moet uw organisatie altijd zelf onderzoek doen en verbeteracties nemen. Op basis van de Cbw moet u dit ook vermelden in het eindverslag aan de CSIRT.

1. Verbeteracties: verbeterplan of sanctie 2. Inspecties: incidentinspecties, reguliere inspecties 3. Brede beeldvorming: check op registratieplicht, beoordeling selfassessments, risicoanalyse per sector 4. Voorlichting: informatie, presentaties, zelfscans
Beeld: ©RDI
Met behulp van de verschillende treden van een piramide laat de Rijksinspectie Digitale Infrastructuur zien hoe en met welke middelen zij toezicht op de Cyberbeveiligingswet houdt. Op de onderste trede staan vormen van voorlichting. In de top van de piramide staan verbeterplannen en sancties zoals boete of last onder dwangsom.