25 september 2024
De Cyberbeveiligingswet in hapklare brokken
- NIS
- Cybersecurity
- Cyberweerbaarheid
- Datalek
Als gevolg van de Europese NIS2-richtlijn (Network and Information Security Directive) krijgt Nederland een Cyberbeveiligingswet (Cbw). Enkele duizenden bedrijven in 18 sectoren moeten in oktober 2025 aan die wet voldoen en dat vergt voorbereiding. Want de Cbw is een zogenoemde open norm. Dat wil zeggen dat bedrijven passende en evenredige maatregelen moeten nemen, zonder dat de wet voorschrijft welke maatregelen dat dan zijn.
Hieronder zetten we wat feiten en adviezen op een rij.
Dat kan door gebruik te maken van de NIS2 Zelfevaluatie: NIS2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl)
LET OP: Ministeries kunnen uitzonderingen maken en organisaties aanwijzen als Cbw-plichtig, ook al zijn de omvang- en/of omzet-criteria niet van toepassing op de organisatie.
Ben daarbij bewust van het feit dat als je niet aan de wet hoeft te voldoen, klanten toch eisen kunnen stellen in het kader van de zorgplicht (zie punt 5).
Registratie is nog niet mogelijk. Om te registreren, ontwikkelt de overheid een online portaal waarop bedrijven gegevens moeten achterlaten, waaronder de IP-range van de organisatie. Een voordeel hiervan is dat de overheid dankzij die gegevens kan waarschuwen in het geval van een dreiging en/of cyberaanval.
Raden van Bestuur, directeuren en leden van Management Teams moeten in staat zijn om de cyberrisico’s te begrijpen, de juiste maatregelen goed te keuren en toe te zien op correcte uitvoering ervan. Zij kunnen verantwoordelijk worden gehouden als dat niet het geval is en lopen dan het risico op (hoge) boetes.
In het geval van een significant incident (een ernstige verstoring en/of risicovol voor andere organisaties), moet hiervan binnen 24 uur een eerste melding worden. Binnen 72 uur dient aanvullende informatie te worden verstrekt. In het wetsvoorstel staat dat de melding moet worden gedaan aan de toezichthouder en het Computer Security Incident Response Team (CSIRT).
Onder de zorgplicht vallen tenminste 10 maatregelen. Zo is men niet alleen verantwoordelijk voor de beveiliging van de eigen organisatie, maar moet een Cbw-bedrijf zich aantoonbaar bekommeren om de veiligheid van toeleveranciers en ketenpartners. De zorgplichtmaatregelen staat opgesomd op: NIS2-startpunt | Digital Trust Center (Min. van EZ)
De Rijksoverheid heeft hiervoor in februari 2024 al een NIS2-Quickscan gelanceerd. Dit is een online hulpmiddel voor organisaties die willen weten hoe zij zich kunnen voorbereiden. NIS2 Quickscan (regelhulpenvoorbedrijven.nl)
Afhankelijk van de sector, komen Cbw-bedrijven onder toezicht van bijvoorbeeld de Rijksinspectie Digitale Infrastructuur. Indien een organisatie als ‘essentiële entiteit’ wordt gezien, is er sprake van pro- en reactief toezicht; gaat een om een ‘belangrijke entiteit’, dan is de toezicht achteraf, na melding van een beveiligingsincident. Een toezichthouder ziet toe op organisaties die aan de wet moeten voldoen, niet op de ketenleveranciers van deze organisaties.
Er zijn ondertussen regels voor Kunstmatige Intelligentie, in de volksmond AI genaamd. Verder volgt binnenkort de Cyber Resilience Act, die gevolgen heeft voor fabrikanten van alle producten met een digitale component. In 2025 wordt de Batteries Regulation van kracht die betrekking heeft op de productie, het gebruik en hergebruik van batterijen en accumulatoren.
LET OP: Nederland voert de Cbw een jaar later in dan was bepaald. In andere Europese lidstaten is de regelgeving als gevolg van NIS2 vanaf 17 oktober 2024 van kracht.
Voor meer informatie over de Cyberbeveiligingswet kunt u terecht op de websites van het Digital Trust Center en/of het Nationaal Cyber Security Center.