In hoeverre denken organisaties al te voldoen aan de Cyberbeveiligingswet?

De Rijksinspectie Digitale Infrastructuur (RDI) wordt de toezichthouder van negen sectoren. Organisaties uit de RDI-sectoren hebben 3.389 keer de Quickscan anoniem ingevuld in de periode van  februari 2024 t/m september 2025. In dit eerste artikel kijken we naar het totaalbeeld van de negen sectoren. In de vervolgartikelen leest u per sector wat u kunt doen om de digitale weerbaarheid van uw organisatie te vergroten.

Op welke sectoren houdt de RDI toezicht?

De RDI wordt de toezichthouder op de Cbw voor de volgende negen sectoren:

Essentiële organisaties krijgen proactief toezicht. Dit wil zeggen dat de RDI toezicht houdt op de naleving van de verplichtingen van de Cbw, ook wanneer er geen sprake is van eventuele incidenten. Bij belangrijke organisaties zal het toezicht voornamelijk achteraf plaatsvinden, bijvoorbeeld na een incident.

Met welke 5 onderwerpen uit de Cbw moeten organisaties nog aan de slag?

Organisaties uit de negen RDI-sectoren geven zelf aan dat zij nog moeten werken aan de volgende vijf onderwerpen om meer te voldoen aan de Cbw:

1. Trainen van alle leden van het bestuur (governance).
   Door de Cbw is dit een nieuwe verplichting voor organisaties. Uw bestuur is eindverantwoordelijk voor governance en risicobeheersing van de organisatie. Dit geldt ook voor de governance en risico's die te maken hebben met cyberbeveiliging van uw organisatie. Zodra de Cbw van kracht is, wordt van bestuurders verwacht dat zij een training volgen. In deze training leren zij hoe ze risico’s voor de beveiliging van hun organisatie kunnen herkennen en beoordelen. 
2. Beveiliging van toeleveringsketen.
   De beveiliging van de toeleveringsketen valt onder de zorgplicht van de Cbw. U moet beleid ontwikkelen voor het verminderen van de risico’s op bestaande leveranciers (via risicoanalyses) en nieuwe leveranciers (via het inkoopproces). Dit beleid moet richtlijnen geven over het omgaan met afhankelijkheden van leveranciers die de veiligheid van uw netwerk- en informatiesystemen kunnen beïnvloeden. Het gaat niet alleen om de digitale beveiliging, maar óók om de fysieke beveiliging van de locatie waar de systemen staan die u wilt beschermen.
3. Meldingsprocedure: significante incidenten.
   Uw organisatie moet voldoen aan de meldplicht. U moet significante cyberincidenten melden bij uw sectorale Computer Security Incident Response Team (CSIRT). Daarvoor moet u een proces of procedure inrichten. U kunt de meldplicht opnemen in het incident response plan van uw organisatie.
4. Beoordelen effectiviteit van maatregelen.
   Deze maatregel valt onder de zorgplicht van de Cbw. Uw organisatie moet beleid opstellen over het onafhankelijk en periodiek toetsen van de effectiviteit van de cyberbeheersmaatregelen. Dit helpt risico’s te beheersen, zorgt voor naleving van de wetgeving, en identificeert verbeterpunten.
5. Beleid over cryptografie en encryptie.
   Deze maatregel valt onder de zorgplicht van de Cbw. U kunt encryptie gebruiken om gegevens te versleutelen. In uw cryptografiebeleid beschrijft u waar en hoe u encryptie toepast. Denk hierbij aan zowel plaatsen waar gegevens worden opgeslagen, als verbindingen waar gegevens worden verstuurd en ontvangen.

Met welke vijf onderwerpen zijn organisaties al goed op weg?

Organisaties uit de negen RDI-sectoren geven zelf aan dat zij al goed op weg zijn met de volgende vijf onderwerpen van de Cbw:

1. Incidentbehandeling.
   Uw organisatie doorloopt een proces tijdens een cyberincident. Bijvoorbeeld bij een verstoring, een datalek of een digitale aanval. De instructies zijn vastgelegd in een incident response plan.
2. Authenticatieoplossingen en communicatiesystemen binnen de organisatie.
   Uw organisatie heeft beleid op toegangsbeheer. U beschermt de gegevens binnen uw organisatie. Deze gegevens zijn alleen zichtbaar voor geautoriseerde personen. Ook de invoering van multifactorauthenticatie (MFA) of veilige VPN-verbindingen vallen hieronder.
3. Rapportageverplichtingen: zo snel mogelijk meedelen maatregelen.
   In geval van een cyberincident moet u snel handelingsperspectief bieden aan uw klanten. Daarvoor heeft uw organisatie een procedure om hen te informeren. Dit kunt u ook vastleggen in een incident response plan.
4. Governance: goedkeuren maatregelen bestuursorgaan.
   Uw organisatie heeft governancebeleid voor netwerk- en informatiebeveiliging, waarin alle verantwoordelijkheden zijn belegd. In dit beleid staat hoe u stuurt, handelt, beheert, verantwoordt en toezicht houdt op uw doelen op het gebied van cybersecurity.
5. Beveiliging van netwerk- en informatiesystemen.
   Uw organisatie heeft informatiebeveiligingsbeleid. Over de gehele levenscyclus van de software, hardware, netwerken en systemen beschrijft u in uw beleid de procedures, rollen en verantwoordelijkheden. In een proces legt u ook vast hoe u uw eigen netwerk monitort op kwetsbaarheden.

Wie zijn wij?

Wij zijn de Rijksinspectie Digitale Infrastructuur. We zijn de toezichthouder op de Cyberbeveiligingswet voor negen sectoren. Digitale weerbaarheid van organisaties is cruciaal voor het vertrouwen in onze digitale samenleving en economie, en voor het gebruiken van de kansen die digitalisering biedt. Daarom houden wij toezicht, delen we onze inzichten daaruit en werken we samen met verschillende organisaties aan een veilig verbonden Nederland. Lees meer over wat we doen.

Meer weten?

Wilt u meer weten over de Cbw of over hoe wij werken? Kijk dan op www.rdi.nl/cbw.