In hoeverre denken organisaties uit de sector ‘digitale aanbieders’ al te voldoen aan de Cyberbeveiligingswet? | Rijksinspectie Digitale Infrastructuur (RDI)

Het trainen van alle leden van het bestuur, het opstellen van een meldingsprocedure voor significante incidenten én het verminderen van de risico’s van de toeleveringsketen. Dit zijn onderwerpen waarop digitale aanbieders zichzelf minder scoren in de NIS2-Quickscan.

Dit hulpmiddel is een self-assessment voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de Network and Information Systems Directive 2 (NIS2). Dit is de Europese richtlijn die wordt omgezet in de Cyberbeveiligingswet (Cbw). De Rijksinspectie Digitale Infrastructuur (RDI) gaat toezicht houden op naleving van de Cbw voor deze sector.

Sector ‘digitale aanbieders’

Volgens de Cbw bestaat deze sector uit aanbieders van onlinemarktplaatsen, onlinezoekmachines en platforms voor socialenetwerkdiensten.

Zodra de Cbw van kracht wordt, moeten digitale aanbieders voldoen aan deze wet. Of uw organisatie onder de wet valt, hangt o.a. af van uw omzet, aantal medewerkers en waar uw hoofdkantoor is gevestigd. Met behulp van de NIS2 zelfevaluatie krijgt u inzicht of uw organisatie onder de Cbw valt.

Werk aan de winkel: belangrijkste aandachtspunten

De respondenten uit de sector schatten in dat hun organisatie in ieder geval nog moet werken aan de volgende onderwerpen:

Trainen van alle leden van uw bestuur (governance);
Opstellen meldingsprocedure voor significante incidenten;
Verminderen van de risico's van de toeleveringsketen.

Train alle leden van uw bestuur

In de Cbw staat dat alle leden van uw bestuur verplicht een training moeten volgen. Een certificaat is nodig om aan te tonen dat de kennis van alle bestuursleden actueel is. Deze regels gelden alleen voor uitvoerende bestuurders. Toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders zijn een uitzondering op deze verplichting.

Stel een meldingsprocedure op voor significante incidenten

Naast registratie- en zorgplicht kent de Cbw ook een meldplicht. Zodra de Cbw van kracht wordt, moet u binnen 24 uur na ontdekking van een significant incident een melding doen bij het sectorale Computer Security Incident Response Team (CSIRT). Na deze eerste melding heeft u 72 uur de tijd om het incident te analyseren. Daarna meldt u de (verwachte) ernst en gevolgen van het incident ook weer bij de CSIRT. De CSIRT deelt deze informatie met de RDI.

Verminder de risico’s van de toeleveringsketen

Door de zorgplicht van de Cbw bent u ook verantwoordelijk voor uw toeleveringsketen. Met behulp van een risicoanalyse bepaalt u van uw huidige leveranciers hoe groot de impact is op de continuïteit van de dienstverlening van uw organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Voor welke processen en data bent u afhankelijk van uw leveranciers? Welke risico’s en afhankelijkheden zijn er? Zo identificeert u uw kritieke leveranciers met hun risico’s. Met deze kritieke leveranciers maakt u afspraken om de cyberbeveiligingsrisico's te verminderen. Ook maakt u afspraken met uw nieuwe leveranciers die grote impact hebben op uw eigen organisatie.

Onderwerpen die al goed gaan

Personen uit de sector 'digitale aanbieders’ die de Quickscan hebben ingevuld, denken dat hun organisatie al goed op weg is met de volgende onderwerpen:

Incidentbehandeling: organisaties hebben een proces voor de behandeling van incidenten. De incidenten worden geregistreerd, beoordeeld, afgehandeld én gerapporteerd aan het verantwoordelijk management.
Authenticatieoplossingen en communicatiesystemen: Organisaties gebruiken multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.
Rapportageverplichtingen: Organisaties delen zo snel mogelijk mee welke beheersmaatregelen kunnen worden genomen bij een mogelijke significante cyberdreiging.

Quickscan – kijk zelf hoever u bent met de Cbw

In de periode van februari 2024 t/m september 2025 werd 402 keer de Quickscan voor de sector ‘digitale aanbieders’ volledig ingevuld.

Met behulp van 40 vragen krijgt een organisatie een beeld over hoe de cyberbeveiliging van zijn netwerk- en informatiesystemen op dat moment ervoor staat. Na het afronden van de vragenlijst ontvangt de respondent zijn scores met een handelingsperspectief voor een verdere voorbereiding op de Cbw. De Quickscan geeft geen garantie dat de organisatie al voldoet aan de eisen van de nieuwe wetgeving.

Wie zijn wij?

Wij zijn de Rijksinspectie Digitale Infrastructuur. We zijn de toezichthouder op de sector ‘digitale aanbieders’. Digitale weerbaarheid van organisaties is cruciaal voor het vertrouwen in onze digitale samenleving en economie, en voor het gebruiken van de kansen die digitalisering biedt. Daarom houden wij toezicht, delen we onze inzichten daaruit en werken we samen met verschillende organisaties aan een veilig verbonden Nederland.