Op deze pagina vindt u de veelgestelde vragen en antwoorden over de Cyberbeveiligingswet (Cbw).
Zodra de Cyberbeveiligingswet (Cbw) ingaat, gelden de verplichtingen van deze wet voor uw organisatie. De Cbw is de Nederlandse uitwerking van de NIS2-richtlijn. Dat betekent dat organisaties die nu al onder de NIS2-richtlijn vallen straks automatisch ook onder de Cbw vallen.
De NIS2-richtlijn wordt in Nederland omgezet in de Cyberbeveiligingswet (Cbw). Wat verandert er dan?
- Organisaties die onder de Cbw vallen, moeten zich verplicht registreren bij mijn.ncsc.nl;
- Verplichtingen op het gebied van risicomanagement, zoals technische en organisatorische beveiligingsmaatregelen;
- Een grotere focus op de beveiliging van de toeleveringsketen van organisaties;
- Meldplicht bij significante incidenten: organisaties moeten significante cyberincidenten binnen 24 uur melden via het meldportaal van het Nationaal Cyber Security Centrum (NCSC);
- Toezicht: de RDI en andere toezichthouders krijgen meer bevoegdheden om inspecties te doen en bevindingen aan te kaarten bij de organisatie die onder toezicht staat;
- Toezichtsmaatregelen richten zich tot de entiteit, maar kunnen ook de individuele bestuurders raken (bestuurlijke verantwoordelijkheid).
Met behulp van de Zelfevaluatie kunt u controleren of uw organisatie onder de Cbw valt. Op de website van het NCTV vindt u een stappenplan.
U kunt zich nu al vrijwillig registreren bij het Nationaal Cyber Security Centrum (NCSC). Zodra de Cyberbeveiligingswet inwerking treedt, is deze registratie verplicht. De wet treedt naar verwachting Q2 2026 in werking. Lees hier meer over de registratieplicht.
Organisaties die onder de wet vallen, krijgen toezicht. Een toezichthouder kijkt of u zich aan de regels houdt, zoals de registratieplicht, de zorgplicht en de meldplicht. Lees hier meer over hoe de RDI toezicht houdt.
In het eerste jaar wil de RDI de sectoren die onder toezicht vallen beter leren kennen. Hoe we dat doen, verschilt per sector en zelfs per organisatie. U kunt een brief ontvangen of een uitnodiging voor een kennismakingsgesprek. Ook kan de RDI vragenlijsten sturen die u moet invullen . Daarnaast verzorgt de RDI regelmatig presentaties bij bijeenkomsten van brancheorganisaties, waarin nadere uitleg wordt gegeven over de Cbw en de wijze waarop toezicht wordt gehouden. Als er een inspectie komt, ontvangt u per brief meer informatie over hoe het proces eruitziet.
De toezichthouders die zich richten op digitale weerbaarheid werken samen. Het doel is om afspraken en regels zoveel mogelijk gelijk te maken. Zo is het voor organisaties die onder meerdere sectoren vallen, duidelijker wat er van hen wordt verwacht. Dit wordt nu verder uitgewerkt.
Samen met andere partijen ontwikkelen we hulpmiddelen, zoals:
- De quickscan: Toets of de huidige cybersecuritymaatregelen van uw organisatie aan de eisen van NIS2 voldoen.
- NIS2 Zelfevaluatie: Breng in kaart of uw organisatie (mogelijk) onder de Cbw valt
Er zijn twee vormen van toezicht:
- Ex ante toezicht (vooraf): bij deze inspectie beoordeelt een toezichthouder of een organisatie haar processen op orde heeft en passende cyberbeveiligingsmaatregelen heeft genomen;
- Ex post toezicht (achteraf): deze inspectie vindt plaats naar aanleiding van een incident of wanneer er signalen zijn dat een incident heeft plaatsgevonden. Als er twijfel bestaat over het naleven van de zorgplicht, kan een toezichthouder ook een inspectie uitvoeren.
Voor essentiële entiteiten gelden beide vormen van toezicht. Voor belangrijke organisaties alleen ex post. Of u een essentiële of belangrijke entiteit bent, of een belangrijke entiteit leest u op onze pagina Sectoren onder toezicht.
Hoe vaak u een inspectie krijgt, hangt af van het risicoprofiel van uw organisatie. Organisaties met een hoger risicoprofiel krijgen vaker en intensiever toezicht. De inspectieresultaten worden altijd met de organisatie gedeeld.
De RDI gebruikt haar eigen toezichtskader. U moet voldoen aan de registratieplicht, zorgplicht en meldplicht van de Cbw. Een belangrijk onderdeel van de zorgplicht is dat u een risico-analyse uitvoert en passende cybermaatregelen neemt. Tijdens een inspectie vraagt de RDI hoe u dit heeft gedaan en kan zij bewijs opvragen. We verwachten dat u passende maatregelen neemt die in lijn zijn met het risicoprofiel van uw organisatie.
Na een inspectie bespreekt de RDI de uitkomsten met u. Dat kan gaan om verbeterpunten. Ook kan de RDI u verplichten een verbeterplan te maken. Indien u geen medewerking verleent of er is sprake van een overtreding, kan de RDI overgaan tot het opleggen van sancties, zoals een boete of een last onder dwangsom.
De maatregelen die u moet nemen, hangen af van de risico’s die uw organisatie loopt. De RDI toetst of deze maatregelen in verhouding staan tot de risico’s.
Elke organisatie moet een risico-analyse uitvoeren. Op basis van deze risico-analyse moet u beheersmaatregelen nemen. Die maatregelen moeten passen bij de risico’s die uw organisatie loopt. Lees hier meer over risicomanagement en cyberbeveiliging.
Een significant incident meldt u uiterlijk binnen 24 uur nadat u het heeft ontdekt. Meld het zeker als het grote gevolgen heeft voor uw systemen, gegevens of dienstverlening. Ook een bijna-incident moet u doorgeven. Hoe u een melding doet, leest u op onze pagina over de meldplicht.
Een incident-inspectie vindt plaats na een melding van een incident, of als er signalen zijn dat er iets is gebeurd. Het melden van een significant incident is verplicht. De RDI bepaalt daarna of een inspectie nodig is. Indien er een inspectie plaatsvindt, vragen wij naar een root-cause analyse. Dit is een manier om uit te zoeken wat de echte oorzaak van het incident is, zodat u het goed kunt oplossen en kunt voorkomen dat het wederom gebeurt.
U moet niet alleen zorgen voor de cyberbeveiliging van uw eigen organisatie, maar ook kijken naar de risico’s van uw leveranciers op uw bedrijfsprocessen en systemen. Dit doet u via een risico-analyse. Blijkt daaruit dat een leverancier een groot risico vormt, dan moet u afspraken maken over hoe die leverancier zijn beveiliging op orde brengt. Dit geldt ook voor leveranciers die zich buiten de EU bevinden.
Het NCSC publiceert regelmatig over dreigingen en kwetsbaarheden. Deze delen zij via hun Advisories-pagina (Nederlands).
Keurmerken zijn een vorm van zelfregulering: organisaties spreken onderling af hoe ze iets regelen. Dit kan helpen bij het behalen van doelen, maar keurmerken bewijzen niet dat een organisatie aan de wet voldoet. Alleen een toezichthouder kan bepalen of een organisatie de wettelijke regels naleeft. Daarom doet de RDI geen uitspraken over dit soort keurmerken of certificaten.
Nee, het voldoen aan een eigen normenkader betekent niet dat een organisatie aan de zorgplicht voldoet. Een normenkader kan wel houvast geven bij het beheersen van de risico’s van de beveiliging van de netwerk- en informatiesystemen.
Voor de overheid geldt de BIO2 als nadere uitwerking van de zorgplicht. De BIO2 is in belangrijke mate gebaseerd op ISO 27001/27002. Het volgen van het normenkader is wettelijk verplicht voor de overheid.
Heeft u nog vragen?
Bij vragen over de toepassing van de Cyberbeveiligingswet in uw sector kunt u terecht bij het ministerie dat verantwoordelijk is voor de sector waarin uw organisatie actief is. U vindt sectorspecieke informatie op de website van de NCTV.