Veelgestelde vragen (FAQ) Cyberbeveiligingswet

Zodra de Cyberbeveiligingswet (Cbw) ingaat, gelden de verplichtingen van deze wet voor uw organisatie. De Cbw is de Nederlandse uitwerking van de NIS2-richtlijn. Dat betekent dat organisaties die nu al onder de NIS2-richtlijn vallen straks automatisch ook onder de Cbw vallen.

De NIS2-richtlijn wordt in Nederland omgezet in de Cyberbeveiligingswet (Cbw). Wat verandert er dan?

1. Verplichtingen op het gebied van risicomanagement, zoals technische en organisatorische beveiligingsmaatregelen;
2. Een grotere focus op de beveiliging van de toeleveringsketen van organisaties;
3. Meldplicht bij ernstige incidenten: organisaties moeten ernstige cyberincidenten binnen 24 uur melden via het meldportaal van het Nationaal Cyber Security Centrum (NCSC);
4. Toezicht: de RDI en andere toezichthouders krijgen meer bevoegdheden om inspecties te doen en bevindingen aan te kaarten bij de organisatie die onder toezicht staat;
5. Toezichtsmaatregelen richten zich tot de entiteit, maar kunnen in een uiterst geval ook de individuele bestuurders raken (bestuurlijke verantwoordelijkheid).

Of uw organisatie onder de Cyberbeveiligingswet (Cbw) valt, hangt af van de sector waarin u werkt en hoe groot uw organisatie is. Een organisatie is ‘groot’ als:

- Er 250 of meer mensen werken, of
- De jaaromzet meer is dan 50 miljoen euro én het balanstotaal meer dan 43 miljoen euro is.

Een organisatie is ‘middelgroot’ als:

- Er tussen 50 en 249 mensen werken, of
- De jaaromzet tussen 10 en 50 miljoen euro is én het balanstotaal tussen 10 en 43 miljoen euro.

Daarnaast kijkt de wet naar de sector. Organisaties kunnen ‘kritieke’ of ‘belangrijke’ entiteiten zijn, zoals beschreven bij het Nationaal Cyber Security Centrum (NCSC). Kleine bedrijven (micro/klein) vallen meestal niet onder de regels, tenzij de minister vindt dat hun werk heel belangrijk is. Dan kunnen zij ook onder de wet vallen.

Een uitzondering geldt voor de overheid, aanbieders van openbare netwerken en diensten, vertrouwensdienstverleners en enkele domeinregistratiediensten. Deze organisaties vallen altijd onder de wet, ongeacht hun grootte. Er is een online zelfevaluatie-tool waarmee u kunt checken of uw organisatie onder de wet valt.

U kunt zich nu al vrijwillig registreren bij het Nationaal Cyber Security Centrum (NCSC). Zodra de Cyberbeveiligingswet inwerking treedt, is deze registratie verplicht. De wet treedt naar verwachting Q2 2026 in werking. Lees hier meer over de registratieplicht.

Organisaties die onder de wet vallen, krijgen toezicht. Er wordt gekeken of u zich aan de regels houdt, zoals de registratieplicht, de zorgplicht en de meldplicht. Hoe het toezicht precies gaat, is nog in ontwikkeling. Ook de details van de regels, via ministeriele regelingen, worden nog bepaald. Lees hier meer over hoe de RDI toezicht houdt.

In het eerste jaar wil de RDI de sectoren die onder toezicht vallen beter leren kennen. Hoe we dat doen, verschilt per sector en zelfs per organisatie. U kunt een brief ontvangen of een uitnodiging voor een kennismakingsgesprek. Ook kan de RDI vragenlijsten sturen die u moet invullen . Daarnaast verzorgt de RDI regelmatig presentaties bij bijeenkomsten van brancheorganisaties, waarin nadere uitleg wordt gegeven over de Cbw en de wijze waarop toezicht wordt gehouden. Als er een inspectie komt, ontvangt u per brief meer informatie over hoe het proces eruitziet.

De toezichthouders die zich richten op digitale weerbaarheid werken samen. Het doel is om afspraken en regels zoveel mogelijk gelijk te maken. Zo is het voor organisaties die onder meerdere sectoren vallen, duidelijker wat er van hen wordt verwacht. Dit wordt nu verder uitgewerkt.

Samen met andere partijen ontwikkelen we hulpmiddelen, zoals:

• De quickscan: Toets of de huidige cybersecuritymaatregelen van uw organisatie aan de eisen van NIS2 voldoen.
• NIS2 Zelfevaluatie: Breng in kaart of uw organisatie (mogelijk) onder de Cbw valt

Er zijn twee vormen van toezicht:

• Ex ante toezicht (vooraf): deze inspectie richt zich op organisaties die volgens de wet als essentieel worden aangemerkt. Bij deze inspecties wordt beoordeeld of de organisatie haar processen en voorzieningen op de juiste manier heeft ingericht.
• Ex post toezicht (achteraf): deze inspectie vindt plaats naar aanleiding van een incident of wanneer er signalen zijn dat een incident heeft plaatsgevonden. Wanneer er twijfel bestaat over het naleven van de zorgplicht, kan ook een inspectie uitgevoerd worden.

Voor essentiële entiteiten geldt beide vormen van toezicht. Voor belangrijke organisaties alleen ex post. De RDI gebruikt hierbij verschillende methoden, zoals openbare bronnen, vragenlijsten, gesprekken of inspecties op locatie.

Of u een essentiële entiteit bent of een belangrijke entiteit leest u op onze pagina Sectoren onder toezicht.

Hoe vaak u een inspectie krijgt, hangt af van het risicoprofiel van uw organisatie. Organisaties met een hoger risicoprofiel krijgen vaker en intensiever toezicht. De inspectieresultaten worden altijd met de organisatie gedeeld.

De RDI gebruikt haar eigen toezichtskader. U moet voldoen aan de registratieplicht, zorgplicht en meldplicht. Een belangrijk onderdeel van de zorgplicht is dat u een risico-analyse uitvoert en passende maatregelen neemt. Tijdens een inspectie vraagt de RDI hoe u dit heeft gedaan en kan zij bewijs opvragen. Het wordt verwacht dat u passende maatregelen neemt die in lijn zijn met het risicoprofiel van uw organisatie. U kunt hierbij gebruik maken van standaarden en ‘best practices’.

Na een inspectie bespreekt de RDI de uitkomsten met u. Dat kan gaan om verbeterpunten. Ook kan de RDI u verplichten een verbeterplan te maken. Indien u geen medewerking verleent of er sprake is van een overtreding, kan de RDI overgaan tot het opleggen van sancties, zoals een boete of een last onder dwangsom.

De maatregelen die u moet nemen, hangen af van de risico’s die uw organisatie loopt. Zo blijft de toezichtslast proportioneel. Voor essentiële organisaties geldt zowel ex-ante als ex-post toezicht. Voor belangrijke organisaties geldt alleen ex-post toezicht. De maatregelen die u moet nemen, hangen af van de risico’s die uw organisatie loopt. Zo blijft de toezichtslast proportioneel. Voor essentiële organisaties geldt zowel ex-ante als ex-post toezicht. Voor belangrijke organisaties geldt alleen ex-post toezicht.

Ja, die zijn er. De wet bepaalt per sector of er sprake is van ex ante (vooraf) en/of ex post (achteraf) toezicht. Binnen sectoren kijkt de RDI naar het risicoprofiel van organisaties. Dat profiel bepaalt of, en hoe vaak, er een inspectie plaatsvindt. Daarnaast kan de Minister bepaalde entiteiten binnen een belangrijke sector als ‘essentieel’ aanwijzen. Deze entiteiten vallen daardoor onder een andere vorm van toezicht.

Elke organisatie moet een risico-analyse uitvoeren. Op basis van deze risico-analyse moet u beheersmaatregelen nemen. Die maatregelen moeten passen bij de risico’s die uw organisatie loopt. Lees hier meer over risicomanagement en cyberbeveiliging.

Een incident moet u altijd zo snel mogelijk melden, uiterlijk binnen 24 uur nadat u het heeft ontdekt. Meld het zeker als het grote gevolgen heeft voor uw systemen, gegevens of dienstverlening. Ook een bijna-incident moet u doorgeven. Meld het incident via Mijn.NCSC.nl-portaal Nationaal Cyber Security Centrum (NCSC).

Een incident-inspectie vindt plaats na een melding van een incident, of als er signalen zijn dat er iets is gebeurd. Het melden van een ernstig incident is verplicht. Dit doet u bij het CSIRT. De RDI bepaalt daarna of een inspectie nodig is. Indien er een inspectie plaatsvindt, vragen wij als RDI naar een root-cause analyse. Dit is een manier om uit te zoeken wat de echte oorzaak van het incident is, zodat u het goed kunt oplossen en voorkomen dat het wederom gebeurt.

U moet niet alleen zorgen voor de cyberbeveiliging van uw eigen organisatie, maar ook kijken naar uw toeleveranciers. Dit doet u via een risico-analyse. Blijkt daaruit dat een leverancier een groot risico vormt, dan moet u afspraken maken over hoe die leverancier zijn beveiliging op orde brengt. Dit geldt ook voor leveranciers die zich buiten de EU bevinden.

Het NCSC publiceert regelmatig over dreigingen en kwetsbaarheden. Deze delen zij via hun Advisories-pagina (Nederlandstalig).