In hoeverre denken organisaties uit de sector digitale infrastructuur al te voldoen aan de Cyberbeveiligingswet? | Rijksinspectie Digitale Infrastructuur (RDI)

Het trainen van alle leden van het bestuur, het actief melden van significante incidenten, én het verminderen van de risico’s van de toeleveringsketen. Dit zijn onderwerpen waarop organisaties uit de sector ‘digitale infrastructuur’ zichzelf minder scoren in de NIS2-Quickscan.

Deze scan is een self-assessment voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de Network and Information Systems Directive 2 (NIS2). Dit is de Europese richtlijn die wordt omgezet in de Cyberbeveiligingswet (Cbw). De Rijksinspectie Digitale Infrastructuur (RDI) gaat toezicht houden op naleving van de Cbw voor deze sector.

Sector ‘digitale infrastructuur’

Onder de Cyberbeveiligingswet vallen de volgende organisaties:

Aanbieders van internetknooppunten;
DNS-dienstverleners;
Register voor topleveldomeinnamen;
Aanbieders van cloudcomputingdiensten;
Aanbieders van datacentrumdiensten;
Aanbieders van netwerken voor de levering van inhoud;
Verleners van vertrouwensdiensten;
Aanbieders van openbare elektronische communicatienetwerken;
Aanbieders van openbare elektronische communicatiediensten.

Zodra de Cbw van kracht wordt, moeten deze organisaties voldoen aan deze nieuwe wet. Of uw organisatie onder de wet valt, hangt o.a. af van uw omzet, aantal medewerkers en waar uw hoofdkantoor is gevestigd. Met behulp van de Zelfevaluatie krijgt u inzicht of uw organisatie onder de Cbw valt.

Werk aan de winkel: belangrijkste aandachtspunten

De respondenten uit de digitale infrastructuur schatten in dat hun organisatie in ieder geval nog moet werken aan de volgende onderwerpen:

Trainen van alle leden van het bestuur (governance);
Opstellen meldingsprocedure voor significante incidenten;
Verminderen van de risico's van de toeleveringsketen.

Train alle leden van uw bestuur

In de Cbw staat dat alle leden van het bestuur verplicht een training moeten volgen. Ze moeten cyberbeveiligingsrisico's kunnen identificeren en beoordelen. Een certificaat is nodig. Aanvullend moeten alle bestuursleden hun kennis actueel houden. Ook medewerkers moeten opleidingen of cursussen volgen op het gebied van cyberbeveiliging.

Deze regels gelden alleen voor uitvoerende bestuurders. Ze gelden niet voor toezichthoudende bestuurders (commissarissen) en niet-uitvoerende bestuurders.

Stel een meldingsprocedure op voor significante incidenten

Naast registratie- en zorgplicht kent de Cbw ook een meldplicht. Zodra de Cbw van kracht wordt, moet u binnen 24 uur na ontdekking van een significant incident een melding doen bij het sectorale Computer Security Incident Response Team (CSIRT). Na deze eerste melding heeft u 72 uur de tijd om het incident te analyseren. Daarna meldt u de (verwachte) ernst en gevolgen van het incident ook weer bij de CSIRT. De CSIRT deelt deze informatie met de RDI.

Verminder de risico’s van de toeleveringsketen

Door de zorgplicht van de Cbw bent u ook verantwoordelijk voor uw toeleveringsketen. Met behulp van een risicoanalyse bepaalt u van uw huidige leveranciers hoe groot de impact is op de continuïteit van de dienstverlening van uw organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Voor welke processen en data bent u afhankelijk van uw leveranciers? Welke risico’s en afhankelijkheden zijn er? Zo identificeert u uw kritieke leveranciers met hun risico’s.

Voor deze ketenrisico’s neemt u passende en evenredige technische, operationele en organisatorische maatregelen voor de beveiliging van uw netwerk- en informatiesystemen. De maatregelen moeten passen bij de risico’s. Bijvoorbeeld: voor een serverruimte is een toegangspas logisch, maar voor digitaal inloggen kunt u bijvoorbeeld multifactor-authenticatie invoeren. De afspraken over maatregelen moet u bespreken met uw leveranciers om de cyberbeveiligingsrisico’s te verminderen.

Onderwerpen die al goed gaan

Organisaties uit de sector ‘digitale infrastructuur’ die de Quickscan hebben ingevuld, denken dat hun organisatie al goed op weg is met de volgende onderwerpen:

Incidentbehandeling: organisaties hebben een proces voor de behandeling van incidenten. De incidenten worden geregistreerd, beoordeeld, afgehandeld én gerapporteerd aan het verantwoordelijk management.
Authenticatieoplossingen en communicatiesystemen: organisaties gebruiken multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.
Goedkeuren maatregelen bestuursorgaan: organisaties hebben governancebeleid voor netwerk- en informatiebeveiliging. Hierin staat wie verantwoordelijk is voor het nemen van of beslissen over cyberbeveiligingsmaatregelen.

Quickscan – kijk zelf hoever u bent met de Cbw

In de periode van februari 2024 t/m september 2025 werd 829 keer de Quickscan voor de sector ‘digitale infrastructuur' volledig ingevuld.

Met behulp van 40 vragen krijgt een organisatie een beeld over hoe de cyberbeveiliging van zijn netwerk- en informatiesystemen op dat moment ervoor staat. Na het afronden van de vragenlijst ontvangt de respondent zijn scores met een handelingsperspectief voor een verdere voorbereiding op de Cbw. De Quickscan geeft geen garantie dat de organisatie al voldoet aan de eisen van de nieuwe wetgeving.

Wie zijn wij?

Wij zijn de Rijksinspectie Digitale Infrastructuur. We zijn de toezichthouder op de sector ‘digitale infrastructuur'. Digitale weerbaarheid van organisaties is cruciaal voor het vertrouwen in onze digitale samenleving en economie, en voor het gebruiken van de kansen die digitalisering biedt. Daarom houden wij toezicht, delen we onze inzichten daaruit en werken we samen met verschillende organisaties aan een veilig verbonden Nederland.

Meer weten

Wilt u meer weten over de Cbw of over hoe wij werken? Kijk dan op www.rdi.nl/cbw.