Ga direct naar inhoud

Zorgplicht Cyberbeveiligingswet

De zorgplicht is een belangrijk onderdeel van de nieuwe Cyberbeveiligingswet (Cbw). Deze verplichting betekent dat uw organisatie zelf moet zorgen voor passende maatregelen rondom cyberbeveiliging. U moet risico’s onderzoeken, beleid vastleggen en zorgen dat de beveiliging op orde blijft. Daarbij heeft ook het bestuur een duidelijke rol: zij moet instemmen met de keuzes, en zorgen dat er voldoende middelen beschikbaar zijn.

Waarom is de zorgplicht belangrijk?

Digitale aanvallen en storingen komen steeds vaker voor. Door nu al te werken aan de zorgplicht:

  • verkleint u de kans op een incident;
  • bent u beter voorbereid als er toch iets misgaat;
  • voldoet u straks sneller aan de nieuwe wet.

Wat houdt de zorgplicht in?

De zorgplicht begint met het maken van een risicoanalyse. Daarmee brengt u in kaart welke dreigingen relevant zijn voor uw organisatie en welke gevolgen een incident kan hebben. Op basis daarvan kiest u maatregelen die passen bij uw situatie. Denk bijvoorbeeld aan:

  • het regelmatig updaten van software;
  • het beveiligen van toegang tot systemen met sterke wachtwoorden en extra verificatie;
  • het maken van duidelijke afspraken met leveranciers over cyberbeveiliging.

Het gaat niet alleen om techniek. Ook processen en afspraken horen bij de zorgplicht. Zo moet u bijvoorbeeld vastleggen hoe u met kwetsbaarheden omgaat, hoe u incidenten meldt en hoe u de dienstverlening van de organisatie herstelt na een storing of aanval. Door dit beleid op te schrijven, te onderhouden en de uitvoering te oefenen, kunt u laten zien dat u structureel aan cyberbeveiliging werkt.

Het Nationaal Cyber Security Centrum (NCSC) heeft 10 zorgplichtmaatregelen op een rij gezet waaraan uw organisatie moet voldoen.

Nu al aan de slag

Het is verstandig om nu al met de zorgplicht aan de slag te gaan, ook al is de wet nog niet in werking. Begin met een eerste risicoanalyse en kijk welke maatregelen u al heeft genomen. Bespreek dit met uw bestuur en maak afspraken over de vervolgstappen. Hoe eerder u begint, hoe weerbaarder uw organisatie wordt tegen dreigingen en hoe beter u straks aan de wet voldoet. Maak daarbij gebruik van bestaande hulpmiddelen, zoals de NIS2-Quickscan.

Uitwerking zorgplicht in lagere regelgeving

De overheid heeft de zorgplicht uitgewerkt in het Cyberbeveiligingsbesluit (Cbb). Dit besluit vult de Cbw verder in. Ook kan de zorgplicht per sector verder ingevuld worden bij ministeriële regeling. Dit wetgevingsproces is nog niet afgerond.