De Cyberbeveiligingswet (Cbw) is de omzetting van de Network and Information Security Directive (NIS2) naar nationale wetgeving. Deze Europese richtlijn is bedoeld om de digitale en economische weerbaarheid te versterken tegen toenemende dreigingen. De Cbw vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni). Naar alle waarschijnlijkheid treedt de Cbw in het derde kwartaal van 2025 in werking.  

  

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet schrijft dwingend voor wat kritieke en belangrijke ondernemingen moeten doen op het gebied van cyberveiligheid. Lastig hierbij is dat in de wet staat dat een bedrijf ‘passende en evenredige’ maatregelen moet nemen, zonder expliciet te maken welke maatregelen dat zijn. Daarom wordt de Cbw ook wel een open norm genoemd.

Wanneer gaat de Cyberbeveiligingswet in?

Het wetsvoorstel voor de Cyberbeveiligingswet wordt naar verwachting in het tweede kwartaal van 2025 aangeboden aan de Tweede Kamer. Als de Tweede Kamer de wet aanneemt en vervolgens de Eerste Kamer ook, is de verwachting dat de wet in het derde of vierde kwartaal van 2025 in werking treedt. Dit is natuurlijk afhankelijk van de snelheid van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer. 

Hoewel de inwerkingtreding nog even op zich laat wachten,  is de tijd krap om tijdig aan alle eisen te voldoen. Zo zijn er minimaal twaalf stappen om te doorlopen. Dat blijkt uit de NIS2 Quickscan waarin het antwoord op 40 vragen duidelijk maakt waar een Cbw-organisatie nog werk van dient te maken.  

En daarmee is men er straks nog niet. Want als beleid, procedures en maatregelen eenmaal zijn bepaald, schrijft de wet voor dat dit getoetst moet worden op naleving, actualiteit en effectiviteit. Tenslotte is cyberbeveiliging geen project, maar een continu proces. En daarbij helpt Cyber Weerbaarheidscentrum Brainport. Wij delen actuele kennis en ervaring waardoor leden op de hoogte van relevante ontwikkelingen blijven. Bovendien stelt het CWB best practices en templates beschikbaar, waarmee het makkelijker wordt om daadwerkelijk stappen ter verbetering te zetten en zorgen we jaarlijks voor een training over omgaan met een cyberincident.  

Bent u daar aan toe of verplicht de Cbw u om nu in actie te komen? Word dan net als zo’n 100 anderen ook lid van onze stichting. Neem hiervoor contact op met Lisette Oosterbosch (lisette.oosterbosch@cwbrainport.nl stuur een e-mail of bel: 06-83111210 op ma.di.do) of Nannie van Bijsterveldt (nannie.van.bijsterveldt@cwbrainport.nl stuur een e-mail of bel: 06-15904539 op ma.wo.do). Meer informatie over het lidmaatschap en de kosten vindt u hier.   

Moet ik aan de Cbw voldoen?

De Cbw geldt voor enkele duizenden bedrijven in onderstaande sectoren : 

  • Afvalstoffenbeheer 
  • Afvalwater 
  • Bankwezen 
  • Beheerders van ICT-diensten 
  • Chemische stoffen 
  • Digitale aanbieders 
  • Digitale infrastructuur 
  • Domeinnaamregistratiediensten 
  • Drinkwater 
  • Energie 
  • Gezondheidszorg 
  • Infrastructuur financiële markt 
  • Levensmiddelen 
  • Lokale overheden 
  • Onderzoek 
  • Overheidsdiensten 
  • Post- en koeriersdiensten 
  • Ruimtevaart 
  • Transport 
  • Vervaardiging 

Afhankelijk van de omvang van het bedrijf en/of de omzet, moet een bedrijf voldoen aan de verplichtingen uit de wet. Dat geldt voor organisaties die aan de volgende voorwaarden voldoen: 

  • Organisaties tot 50 medewerkers én een jaaromzet en balanstotaal tot 10 miljoen euro, na aanwijzing van een ministerie;   
  • Organisaties met 50 tot 249 medewerkers óf een jaaromzet en balanstotaal van meer dan 10 miljoen euro;  
  • Organisaties vanaf 250 medewerkers óf een jaaromzet van 50 miljoen euro of meer én een balanstotaal van 43 miljoen euro of meer.   

Bedrijven moeten zelf juridisch vaststellen of zij onder de Nederlandse Cyberbeveiligingswet vallen. In dat geval moeten zij zich registreren op het MijnNCSC-portaal van het Nationaal Cyber Security Centrum (NCSC). Behalve deze registratieplicht, zijn ze verplicht om significante cyberincidenten te melden bij het NCSC. Het gaat hierbij om digitale voorvallen die in- of extern ernstige verstoringen (kunnen) veroorzaken. Ten slotte is er sprake van een ‘zorgplicht’. Die schrijft voor aan welke eisen het bedrijf moet voldoen, evenals diens keten van toeleveranciers. 

Organisaties zijn zelf verantwoordelijk om te bepalen of ze aan de Cyberbeveiligingswet moeten voldoen. Hiervoor is de NIS2 Zelfevaluatie ontwikkeld, te vinden op regelhulpvoorbedrijven.nl.  

Wie niet aan de wet hoeft te voldoen, kan er toch mee te maken krijgen omdat klanten eisen kunnen stellen in het kader van de zorgplicht. Die schrijft namelijk voor dat een Cbw-organisatie niet alleen verantwoordelijk is voor de beveiliging van de eigen organisatie, maar zich ook aantoonbaar moet bekommeren om de veiligheid van toeleveranciers en ketenpartners.  

Registratieplicht 

Ieder bedrijf dat onder de Cbw valt, moet zich registreren. Zo’n bedrijf is bovendien verplicht om de aangeleverde netwerk- en organisatiegegevens compleet en actueel te houden. Tot de wet officieel in werking treedt, kan dat op vrijwillige basis op het interactieve portaal MijnNCSC van het Nationaal Cyber Security Centrum. Let wel: wie zich nu aanmeldt, voldoet nog niet aan de registratieplicht. Daarover verstrekt het NCSC later informatie.  

Bedrijven die zich nu al registreren, krijgen het advies om vooraf de gevraagde gegevens te verzamelen. Daarvoor bestaat online de Checklist NIS2-registratie: een stappenplan in pdf-formaat die men intern kan gebruiken om de vereiste informatie te vergaren. Volgens het NCSC duurt de werkelijke registratie hierna ongeveer tien minuten.  

Door te registreren, kan het NCSC informatie op verschillende beveiligingsniveaus delen en in geval van incidenten, snel ondersteunen.  

Meldplicht 

Als zich een significant cyberincident voordoet bij een bedrijf dat Cbw-plichtig is, moet dat zo snel mogelijk gemeld worden op het portaal MijnNCSC. Het gaat om incidenten die een ernstige operationele verstoring van diensten of financiële verliezen veroorzaakt of kan veroorzaken. Maar ook om incidenten die andere organisaties heeft getroffen of kan treffen door aanzienlijke (im)materiële schade te veroorzaken. De online melding komt zowel bij het Computer Security Incident Response Team (CSIRT) als de toezichthoudende autoriteit.   

Een eerste melding moet binnen 24 uur na ontdekking worden gedaan. Binnen 72 uur dient men een beoordeling van de (verwachte) ernst en gevolgen van het incident te melden. Hierna kan een sectorale CSIRT of toezichthouder vragen om updates. Een eindrapport over een incident dient binnen een maand aangeleverd te worden. Als het incident na een maand nog gaande is, volstaat een voortgangsverslag en volgt het eindrapport later.  

Het is ook mogelijk om vrijwillig een melding te doen van niet-significante incidenten of bijna-incidenten.  

Zorgplicht 

Cbw-organisaties zijn verplicht om zelf een risicoanalyse uit te voeren. Op basis daarvan dienen ze passende en evenredige maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen.  

Onder de zorgplicht vallen tenminste: 

  • Een risicoanalyse en beveiliging van informatiesystemen 
  • Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets 
  • Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen 
  • Incidentenbehandeling 
  • Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging 
  • Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden 
  • Beveiliging van de toeleveranciersketen 
  • Beleid en procedures over het gebruik van cryptografie en encryptie 
  • Het gebruik van multi-factorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen 
  • Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen 

Bestuurlijke plichten

De leden van het bestuur van Cbw-organisaties moeten maatregelen voor de beveiliging van hun netwerk- en informatiesystemen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij een opleiding te volgen. Dat dient te gebeuren binnen twee jaar na het ingaan van de Cbw of twee jaar na het aantreden als bestuurslid.  

Daarbij dienen ze hun kennis op peil te houden, want de ontwikkelingen gaan snel en nieuwe risico’s dienen zich aan. Denk bijvoorbeeld aan de opkomst van quantumcomputers (met zo’n sterke rekenkracht, dat bestaande encryptie hiertegen niet bestand is) en kunstmatige intelligentie (AI).    

Rechten

Behalve plichten, krijgen bedrijven die onder de Cbw vallen ook rechten. Afhankelijk van het risico én de impact voor de digitale weerbaarheid, kunnen ze aanspraak maken op onderstaande activiteiten en diensten: 

  • Op verzoek monitoren van netwerk- en informatiesystemen; 
  • Desgevraagd advisering over het zelf inrichten van dergelijke monitoring; 
  • Bijstand van een Computer Security Incident Response Team (CSIRT) in geval van een cyberincident. Hierbij ligt de focus op het beperken van schade en advisering ten bate van vlot herstel;  
  • Vroegtijdige waarschuwingen en geautomatiseerde informatie over incidenten, cyberdreigingen, beveiligingsadviezen en kwetsbaarheden door middel van doelwit- en slachtoffernotificatie. 

Bereid je op tijd voor!

Het is raadzaam dat Cbw-organisaties zich nu al voorbereiden, zodat ze op tijd voldoen aan de wet.  

  • Maak een risicoanalyse van de digitale dreigingen die de dienstverlening van uw organisatie kunnen verstoren 
  • Neem waar mogelijk maatregelen die uw organisatie (beter) beschermen tegen deze risico’s. Gebruik hiervoor als basis de genoemde maatregelen om aan de zorgplicht te voldoen 
  • Zorg voor procedures waarmee (dreigende) incidenten worden gedetecteerd, gemonitord, opgelost en gemeld.  

Wilt u nog meer voorbereidingen treffen? Gebruik dan de NIS2 Quickscan waarin het antwoord op 40 vragen duidelijk maakt waar een Cbw-organisatie nog werk van dient te maken. Wilt u daar advies over of hulp bij? Word net als zo’n 100 anderen ook lid van onze stichting. Neem hiervoor contact op met Lisette Oosterbosch (lisette.oosterbosch@cwbrainport.nl stuur een e-mail of bel: 06-83111210 op ma.di.do) of Nannie van Bijsterveldt (nannie.van.bijsterveldt@cwbrainport.nl stuur een e-mail of bel: 06-15904539 op ma.wo.do). Meer informatie over het lidmaatschap en de kosten vindt u hier.   

Toezichthouders

Onafhankelijke toezichthouders controleren of Cbw-organisaties zich houden aan de verplichtingen, zoals passende preventieve maatregelen en de zorg- en meldplicht. Voldoet een organisatie hier niet aan, dan kan een toezichthouder de organisatie straffen. Dat kan onder meer door openbaarmaking van de overtreding, een bindende aanwijzing of last onder bestuursdwang. In een uiterst geval, kunnen sancties individuele bestuurders raken.  

In de vitale sectoren is constant toezicht. In de overige sectoren vindt toezicht achteraf plaats, na een incident of als er aanwijzingen zijn dat men zich niet aan de wet houdt. In alle gevallen kan de toezichthouder beveiligingsaudits en -scans uitvoeren en om informatie vragen om de risicobeheersmaatregelen te beoordelen.  

Wie is verantwoordelijk?

De Cyberbeveiligingswet legt de verantwoordelijkheid voor een cyberweerbare organisatie duidelijk bij het bestuur. Daar hoort het ook thuis, omdat het om bedrijfscontinuïteit gaat en omdat álle medewerkers een rol in spelen in de cyberveiligheid.  

Wie niet aan de verplichtingen uit de Cbw voldoet, kan te maken krijgen met sancties. Daarvan is sneller sprake als een bestuur willens en wetens geen of te weinig actie onderneemt. Dergelijke nalatigheid kan tot consequenties leiden voor bestuurders, die persoonlijk aansprakelijk kunnen worden gesteld.

De toekomst van de Cyberbeveiligingswet

De Cyberbeveiligingswet is de opvolger van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het grootste verschil is het aantal sectoren waarop de wet zich richt en daarmee het aantal bedrijven dat onder de Cbw valt.  

De Cbw staat niet op zichzelf. Want Europa heeft ook de Cyber Resilience Act aangenomen. Deze is ontworpen om de veiligheid van producten die met internet verbonden zijn te verhogen, door striktere ontwerp- en productie-eisen te stellen tegen cyberaanvallen. De implementatiewetgeving – die gaat gelden voor alle EU-lidstaten - is nog in de maak, net als de bijbehorende standaarden en eisen. Fabrikanten van producten met een digitale component zullen daar in december 2027 aan moeten voldoen. 

Verder moeten organisaties in de Europese Unie ook voldoen aan regels voor het gebruik van kunstmatige intelligentie. Deze AI Act moet leiden tot veilig en ethisch gebruik van kunstmatige intelligentie. Wat AI-makers moeten doen, hangt af van de risico’s van het AI-model. De AI Act treedt rond de zomer van 2026 in werking. Tegen die tijd zal er onder meer een AI Office zijn opgericht en een AI Board die de Europese Commissie gaat helpen om ervoor te zorgen dat organisaties zich aan de regulering houden.  

Daarbij is er op het gebied van cybersecurity nog sprake van de Cyber Solidarity Act, gericht op het versterken van samenwerking en solidariteit tussen EU-lidstaten bij het aanpakken van grootschalige cyberincidenten. Plus de EU Cybersecurity Act op grond waarvan er EU-brede certificeringen moeten komen voor ICT-producten, - diensten en -processen. Deze certificeringen moeten helpen om het vertrouwen in de digitale markt te vergroten.  

Ontdek wat het CWB doet