Het trainen van alle leden van het bestuur, het verminderen van de risico's van de toeleveringsketen én het beoordelen van de effectiviteit van maatregelen. Hieraan moeten overheidsinstanties nog werken, denken de respondenten uit deze sector bij het invullen van de NIS2-Quickscan.

De Quickscan is een self-assessment voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de Network and Information Systems Directive 2 (NIS2). Dit is de Europese richtlijn die wordt omgezet in de Cyberbeveiligingswet (Cbw). De Rijksinspectie Digitale Infrastructuur (RDI) gaat toezicht houden op naleving van de Cbw voor de overheid.

Sector ‘overheid’

Overheidsinstanties moeten voldoen aan de bepalingen van de Cbw, zodra deze van kracht wordt. Onder de wet vallen:

  • Organisaties die onderdeel zijn van de rijksoverheid, inclusief zelfstandige bestuursorganen;
  • Provincies;
  • Gemeenten;
  • Gemeenschappelijke regelingen;
  • Waterschappen.

De RDI is de toezichthouder voor de rijks-, provinciale en gemeentelijke overheid. De Inspectie Leefomgeving en Transport (ILT) houdt toezicht op de naleving van de wet voor de waterschappen.

Werk aan de winkel: belangrijkste aandachtspunten

De respondenten uit de overheid schatten in dat hun organisatie in ieder geval nog moet werken aan de volgende onderwerpen:

  1. Trainen van alle leden van het bestuur (governance);
  2. Verminderen van de risico's van de toeleveringsketen;
  3. Beoordelen effectiviteit van de maatregelen.

Train alle leden van het bestuur

In de Cbw staat dat alle leden van uw bestuur verplicht een training moeten volgen. Ze moeten cyberbeveiligingsrisico's kunnen identificeren en beoordelen. Een certificaat is nodig. Aanvullend moeten alle bestuursleden hun kennis actueel houden. Ook alle medewerkers moeten opleidingen of cursussen volgen op het gebied van cyberbeveiliging.

Verminder de risico’s van de toeleveringsketen

Door de zorgplicht van de Cbw moet uw organisatie beleid hebben voor de beveiliging van de toeleveringsketen. Met behulp van een risicoanalyse bepaalt u van uw huidige leveranciers hoe groot de impact is op de continuïteit van uw eigen organisatie, als ze bijvoorbeeld wegvallen of worden gehackt. Voor welke processen en data bent u afhankelijk van uw leveranciers? Welke risico’s en afhankelijkheden zijn er? Zo identificeert u uw kritieke leveranciers met hun risico’s.

Voor deze ketenrisico’s neemt u passende en evenredige technische, operationele en organisatorische maatregelen voor de beveiliging van uw netwerk- en informatiesystemen. De maatregelen moeten passen bij de risico’s. Bijvoorbeeld: voor een serverruimte is een toegangspas logisch, maar voor digitaal inloggen kunt u bijvoorbeeld multifactor-authenticatie invoeren. De afspraken over maatregelen moet u bespreken met uw leveranciers om de cyberbeveiligingsrisico’s te verminderen.

Beoordeel de effectiviteit van de maatregelen

Het is belangrijk om te weten of uw maatregelen tegen cyberbeveiligingsrisico’s echt werken en dat u kunt bijsturen, als dat nodig blijkt. Beveiligingsbeleid en procedures zijn daarom onmisbaar. Een belangrijke basis hiervoor is de Baseline Informatiebeveiliging Overheid versie 2 (BIO2).

De verantwoordelijkheid en maatregelen reiken verder dan uw eigen organisatie en diensten. Naast risicomanagement voor uw eigen organisatie, moet u ook de risico's voor uw cyberbeveiliging analyseren die belangrijke leveranciers op uw organisatie hebben.

Tot slot is het ook belangrijk dat u regelmatig rapporteert aan het management over wat werkt en wat beter kan. Zo houdt u grip op uw cyberbeveiliging en verbetert u stap voor stap de weerbaarheid.

Onderwerpen die al goed gaan

Respondenten uit de sector ‘overheid’ die de Quickscan hebben ingevuld, denken dat hun organisatie al goed op weg is met de volgende onderwerpen:

  • Incidentbehandeling: er is een proces voor de behandeling van incidenten. De incidenten worden geregistreerd, beoordeeld, afgehandeld én gerapporteerd aan het verantwoordelijk management.
  • Rapportageverplichtingen: zo snel mogelijk meedelen maatregelen. De overheidsinstanties informeren de ontvangers tijdig over de beheersmaatregelen die ze kunnen nemen bij een significante cyberdreiging in de organisatie.
  • Authenticatieoplossingen en communicatiesystemen binnen de organisatie. Het authenticatie(management)proces is beschreven. Het gebruik van authenticatiemiddelen (zoals een wachtwoord of MFA) past bij de dataclassificatie waartoe men toegang heeft. Ook maken de overheidsinstanties gebruik van MFA bij:
    - accounts met beheerdersrechten;
    - accounts met toegang tot systemen met bedrijfsgevoelige informatie;
    - accounts die vanaf het internet inloggen.

Quickscan – kijk zelf hoever u bent met de Cbw

In de periode van februari 2024 t/m september 2025 werd 1.025 keer volledig de Quickscan voor de sector ‘overheid’ ingevuld.

Met behulp van 40 vragen krijgt een organisatie een beeld over hoe de cyberbeveiliging van zijn netwerk- en informatiesystemen er op dat moment voor staat. Na het afronden van de vragenlijst ontvangt de respondent zijn scores en een handelingsperspectief voor een verdere voorbereiding op de Cbw. De Quickscan geeft geen garantie dat de organisatie voldoet aan de eisen van de nieuwe wetgeving.

Wie zijn wij?

Wij zijn de Rijksinspectie Digitale Infrastructuur. We zijn de toezichthouder op de sector ‘overheid’ (met uitzondering van waterschappen) onder de Cbw. Digitale weerbaarheid van overheidsorganisaties is cruciaal voor hun publieke dienstverlening en het vertrouwen in onze digitale samenleving en economie. Daarom houden wij toezicht, delen we onze inzichten daaruit en werken we samen met verschillende organisaties aan een veilig verbonden Nederland. 

Meer weten over de Cbw

Op de pagina Overheidsinstanties onder de Cyberbeveiligingswet vindt u meer informatie.