Veelgestelde vragen (FAQ) Cyberbeveiligingswet

De Wet beveiliging netwerk- en informatiesystemen (Wbni) wordt ingetrokken zodra de Cbw in werking treedt.

Voor in Nederland gevestigde entiteiten* die onder het toepassingsbereik van de NIS2-richtlijn vallen, gelden de verplichtingen uit de NIS2-richtlijn vanaf het moment dat de Cbw in werking treedt. De regering streeft ernaar dat de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in het tweede kwartaal van 2026 in werking treden. Lees meer over het wetsvoorstel. 

*Essentiële entiteiten zijn organisaties die onmisbaar zijn voor belangrijke basisvoorzieningen zoals energie, water en zorg. Belangrijke entiteiten ondersteunen de samenleving en helpen bij het herstel na een crisis, zoals scholen en openbaar vervoer.

Aan de hand van in welke sector een organisatie actief is en wat de grootte van een organisatie is, wordt bepaald of deze organisatie onder de NIS2-richtlijn valt, en daarmee ook onder de Cbw. De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:

Een organisatie is ‘groot’ als:

• Minimaal 250 personen werkzaam zijn of;
• Er sprake is van een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro
• Een organisatie is ‘middelgroot’ als:
• Minimaal 50-249 personen werkzaam zijn of;
• Er sprake is van een jaaromzet van meer dan 10 miljoen euro (en minder dan 50 miljoen euro), en een balanstotaal van meer dan 10 miljoen euro (en minder dan 43 miljoen euro).

Vervolgens wordt aan de hand van de genoemde sectoren in bijlage I en II van de Cyberbeveiligingswet bepaald of een organisatie als een ‘kritieke entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie. Daarmee kunnen ze alsnog onder de Cbw komen te vallen.

Een uitzondering geldt voor de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwens-dienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinregistratiediensten. Al deze organisaties (zowel groot, middelgroot als micro/klein), dus ongeacht hun omvang vallen direct onder de Cbw.

Er is een zelf-evaluatietool gepubliceerd waarmee entiteiten kunnen bepalen of zij van rechtswege onder de reikwijdte van de Cbw vallen. Deze NIS2 zelf-evaluatietool vindt u op regelhulpenvoorbedrijven.nl.

Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit, maar kunnen in een uiterst geval ook de individuele bestuurders raken. Hoe toezicht precies ingericht gaat worden, wordt momenteel nog aan gewerkt. Ook de precieze uitwerking van de verplichtingen, zoals voortkomend uit de NIS2-richtlijn, ligt nog ter besluitvorming voor.

Essentiele entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, kunnen zich per 17 oktober 2024 op vrijwillige basis registreren bij het NCSC. Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingsdienst verplicht. Om ervoor te zorgen dat entiteiten de informatie voor de registratie laagdrempelig kunnen aanleveren en beheren, heeft het kabinet ervoor gekozen om een centrale registratiefunctionaliteit in te richten bij het NCSC. In dit registratieportaal is het ook mogelijk incidenten vrijwillig te melden. Voor meer informatie over registratie kunt u terecht op de website van het NCSC.

Zodra de Cyberbeveiligingswet in werking treedt, worden essentiële en belangrijke entiteiten verplicht om significante cyberincidenten te melden. Het meldproces bestaat uit de volgende wettelijk vastgelegde stappen:

• Vroegtijdige waarschuwing: De eerste stap is het moeten doen van een vroegtijdige waarschuwing over een significant incident binnen uiterlijk 24 uur nadat de entiteit kennis daarvan heeft gekregen.
• Melding, update: De tweede stap is het doen van een melding binnen uiterlijk 72 uur nadat de entiteit kennis heeft gekregen van het significante incident. Deze melding betreft onder meer een update van de met de waarschuwing gegeven én een initiële beoordeling van de ernst en de gevolgen van het incident.
• Tussentijds verslag: Op verzoek van het CSIRT of de toezichthouder dient de entiteit een verslag in over relevante updates van de situatie.
• Eindverslag: De laatste stap is het indienen van een eindverslag uiterlijk één maand na de melding. Dit verslag bevat onder meer een gedetailleerde omschrijving van de ernst en de gevolgen van het incident én de toegepaste of lopende risicobeperkende maatregelen.

Zodra de Cyberbeveiligingswet in werking treedt, hebben essentiële en belangrijke entiteiten een zorgplicht. Dit houdt in dat zij passende en evenredige maatregelen moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, om incidenten te voorkomen én om de gevolgen van incidenten te beperken.

De Cyberbeveiligingswet geeft aan welke maatregelen organisaties in elk geval moeten nemen.. Daartoe behoren onder meer beleid inzake risicoanalyse, incidentenbehandeling en bedrijfscontinuïteit.
Deze maatregelen worden verder uitgewerkt in de op de Cyberbeveiligingswet te baseren lagere wetgeving, namelijk het Cyberbeveiligingsbesluit en ministeriële regelingen.

De Cyberbeveiligingswet en de daarop te baseren nadere regelgeving bevatten verschillende verplichtingen voor essentiële en belangrijke entiteiten. Dit zijn onder meer:

• Registratieplicht: entiteiten moeten zich bij het NCSC) registreren ten behoeve van opname in het nationaal register van entiteiten.

• Meldplicht: entiteiten moeten significante cyberincidenten bij hun CSIRT én toezichthouder melden.
• Zorgplicht: entiteiten moeten passende en evenredige maatregelen nemen om de risico’s met betrekking tot de beveiliging van hun netwerk- en informatiesystemen te beheersen.

Een toezichthouder houdt toezicht op de naleving door entiteiten van de bovengenoemde wettelijke verplichtingen. Bij essentiële entiteiten zal de toezichthouder vooraf en achteraf toezicht houden. Dit gebeurt steekproefsgewijs en op basis van risico-inschattingen. Voor belangrijke entiteiten houdt de toezichthouder alleen toezicht als zij bewijs, aanwijzingen of informatie heeft van een mogelijke overtreding van de verplichtingen.

De Cyberbeveiligingswet verplicht essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen** om zich te registreren bij het Nationaal Cyber Security Centrum (NCSC). Zij komen dan in het nationale register van entiteiten te staan. Elke organisatie moet zelf nagaan of zij onder deze verplichting valt. Vul daarvoor de NIS2 zelf-evaluatie tool in om te bepalen of uw organisatie onder de NIS2-richtlijn valt. Ook wordt duidelijk of uw organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’.

De registratie verloopt in de praktijk via het NCSC-portaal, beheerd door het NCSC. De registratieplicht gaat pas in zodra de Cyberbeveiligingswet van kracht gaat. De toezichthouders en de CSIRT’s hebben toegang tot het nationaal register ten behoeve van de uitoefening van hun taken.

**Essentiële entiteiten zijn organisaties die onmisbaar zijn voor belangrijke basisvoorzieningen zoals energie, water en zorg. Belangrijke entiteiten ondersteunen de samenleving en helpen bij het herstel na een crisis, zoals scholen en openbaar vervoer.

Zodra de Cyberbeveiligingswet van kracht is, zijn essentiële en belangrijke entiteiten verplicht om significante cyberincidenten te melden bij zowel de toezichthouder als het CSIRT. Die melding kan in de praktijk via het NCSC-portaal worden gedaan.

Daarnaast kunnen essentiële en belangrijke entiteiten bij het CSIRT vrijwillig melding doen van andere incidenten, bijna-incidenten en cyberdreigingen. Bovendien kunnen andere dan deze entiteiten bij een CSIRT ook vrijwillige meldingen doen van incidenten, bijna-incidenten en cyberdreigingen. Ook deze meldingen kunnen worden gedaan via het NCSC-portaal.

De Cyberbeveiligingswet heeft als doel de digitale weerbaarheid van organisaties – en daarmee van Nederland als geheel – te versterken. De leden van het bestuur van deze organisaties spelen hierin een belangrijke rol: zij moeten instemmen met de zorgplichtmaatregelen van hun organisatie en toezien op de uitvoering ervan. Daarmee dragen ze bij aan een sterke cyberweerbaarheidscultuur.

Om de naleving te waarborgen, is in de wet voorzien dat toezichthouders bestuursleden een last onder dwangsom of een bestuurlijke boete kunnen opleggen. Een last onder dwangsom kan bijvoorbeeld worden ingezet om een bestuurder ertoe te bewegen alsnog een vereiste training te volgen.

De Cyberbeveiligingswet verplicht bestuurders van essentiële en belangrijke entiteitenom een training te volgen. Deze training helpt bestuurders om beveiligingsrisico’s van netwerk- en informatiesystemen te herkennen. Ook leren zij hoe ze risicobeheersmaatregelen en de gevolgen van die risico's kunnen beoordelen. In een aanvullende regeling bij de wet (de algemene maatregel van bestuur, of amvb) kunnen nadere regels over deze training worden gesteld.

Vanaf het moment dat de wet ingaat, krijgen bestuurders maximaal twee jaar de tijd om deze training te volgen.

Het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke) vraagt meer tijd dan verwacht. Tussen 17 oktober 2024 en het moment dat de wetten gelden, hoeven organisaties zich niet aan de nieuwe regels te houden. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, zoals het ontvangen van bijstand bij een incident door een Computer Security Incident Response Team (CSIRT). Lees meer hierover in het nieuwsbericht Gevolgen niet tijdig omzetten NIS2- en CER-richtlijn naar nationale wetgeving op de website van de NCTV.