Aanbieders van eDelivery vallen onder eIDAS en de Cyberbeveiligingswet (Cbw). eDelivery kennen we ook wel als 'veilige digitale post' of 'digitaal berichtenverkeer'. Aanbieders van eDelivery-diensten zijn vertrouwensdienstverleners onder de eIDAS-verordening en vallen daarmee ook onder de Cyberbeveiligingswet. Dit blijkt uit onderzoek door de RDI.
eDelivery is een systeem voor veilige, betrouwbare en aantoonbare gegevensuitwisseling tussen organisaties. Berichten worden beveiligd verstuurd en u kunt bewijzen dat ze zijn aangekomen.
Voorbeelden van toepassingen zijn het uitwisselen van juridische documenten, medische gegevens of het versturen van een aangetekend document. Peppol is een bekend netwerk dat gebruikmaakt van eDelivery, maar er zijn meerdere toepassingen
Biedt u eDelivery-diensten aan? Dan gelden voor u de eisen uit eIDAS-wetgeving
Waarom? De Europese wet eIDAS stelt regels voor digitale diensten die betrouwbaarheid garanderen. Een van die diensten is de elektronische aangetekende bezorgdienst (ERDS). Die dienst bewijst dat een bericht is verstuurd én ontvangen. eDelivery werkt precies zo: het biedt aantoonbare verzending én een ontvangstbevestiging.
Als aanbieder van eDelivery-diensten bent u een niet-gekwalificeerde vertrouwensdienstverlener. Dat betekent dat de eisen voor niet-gekwalificeerde vertrouwensdiensten voor u gelden. Krijgt u op een later moment de gekwalificeerde status toegekend, dan gelden aanvullende eisen.
Dat eDelivery onder de wet eIDAS valt blijkt uit onderzoek door de RDI.
Biedt u eDelivery aan? Dan gelden ook de eisen uit de Cyberbeveiligingswet (Cbw)
Als aanbieder van eDelivery bent u een aanbieder van digitale diensten die onder de NIS2-richtlijn valt. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). Die wet stelt verplichtingen op het gebied van risicomanagement, een zorgplicht en een meldplicht bij ernstige incidenten.
Aanbieders van eDelivery vallen in ieder geval in de categorie belangrijke entiteiten. Bent u een grote onderneming, of krijgt u de gekwalificeerde status toegekend onder eIDAS? Dan valt u in de categorie essentiële entiteiten. Voor essentiële entiteiten gelden strengere toezichteisen.
Meer informatie over de Cyberbeveiligingswet vindt u op rdi.nl/cyberbeveiligingswet.
Geldt dit alleen voor Peppol?
Alle aanbieders van eDelivery-diensten vallen onder deze regelgeving. Peppol is een voorbeeld van een eDelivery-toepassing waarop deze analyse van toepassing is.
Een uitzondering geldt voor gesloten systemen: systemen die een organisatie of overheid uitsluitend voor interne processen gebruikt, vallen buiten de werkingssfeer van eIDAS.
Als eerste gaan we langs bij Peppol-serviceproviders
Als toezichthouder ziet de RDI toe op de naleving van eIDAS en de Cyberbeveiligingswet. Daarom gaan wij in gesprek met aanbieders van eDelivery-diensten om samen te verkennen wat deze wetgeving in de praktijk betekent.
We beginnen in 2026 bij Peppol-serviceproviders. In die gesprekken informeren wij hen over hun verplichtingen en horen we graag wat zij in de praktijk tegenkomen.