De Cyberbeveiligingswet in hapklare brokken

1. Controleer of je bedrijf aan de Cbw moet voldoen

Dat kan door gebruik te maken van de NIS2 Zelfevaluatie: NIS2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl)

LET OP: Ministeries kunnen uitzonderingen maken en organisaties aanwijzen als Cbw-plichtig, ook al zijn de omvang- en/of omzet-criteria niet van toepassing op de organisatie.

Ben daarbij bewust van het feit dat als je niet aan de wet hoeft te voldoen, klanten toch eisen kunnen stellen in het kader van de zorgplicht (zie punt 5). 

2. Een bedrijf dat onder de Cbw valt, heeft registratieplicht

Registratie is nog niet mogelijk. Om te registreren, ontwikkelt de overheid een online portaal waarop bedrijven gegevens moeten achterlaten, waaronder de IP-range van de organisatie. Een voordeel hiervan is dat de overheid dankzij die gegevens kan waarschuwen in het geval van een dreiging en/of cyberaanval.

3. Bestuursleden zijn hoofdelijk aansprakelijk

Raden van Bestuur, directeuren en leden van Management Teams moeten in staat zijn om de cyberrisico’s te begrijpen, de juiste maatregelen goed te keuren en toe te zien op correcte uitvoering ervan. Zij kunnen verantwoordelijk worden gehouden als dat niet het geval is en lopen dan het risico op (hoge) boetes.

4. Cbw-bedrijven hebben meldplicht

In het geval van een significant incident (een ernstige verstoring en/of risicovol voor andere organisaties), moet hiervan binnen 24 uur een eerste melding worden. Binnen 72 uur dient aanvullende informatie te worden verstrekt. In het wetsvoorstel staat dat de melding moet worden gedaan aan de toezichthouder en het Computer Security Incident Response Team (CSIRT).

5. Cbw-bedrijven hebben zorgplicht

Onder de zorgplicht vallen tenminste 10 maatregelen. Zo is men niet alleen verantwoordelijk voor de beveiliging van de eigen organisatie, maar moet een Cbw-bedrijf zich aantoonbaar bekommeren om de veiligheid van toeleveranciers en ketenpartners. De zorgplichtmaatregelen staat opgesomd op: NIS2-startpunt | Digital Trust Center (Min. van EZ)

6. Tijdige voorbereiding is noodzakelijk

De Rijksoverheid heeft hiervoor in februari 2024 al een NIS2-Quickscan gelanceerd. Dit is een online hulpmiddel voor organisaties die willen weten hoe zij zich kunnen voorbereiden. NIS2 Quickscan (regelhulpenvoorbedrijven.nl)

7. Onder toezicht

Afhankelijk van de sector, komen Cbw-bedrijven onder toezicht van bijvoorbeeld de Rijksinspectie Digitale Infrastructuur. Indien een organisatie als ‘essentiële entiteit’ wordt gezien, is er sprake van pro- en reactief toezicht; gaat een om een ‘belangrijke entiteit’, dan is de toezicht achteraf, na melding van een beveiligingsincident. Een toezichthouder ziet toe op organisaties die aan de wet moeten voldoen, niet op de ketenleveranciers van deze organisaties.

8. Meer Europese regels en wetgeving op komst

Er zijn ondertussen regels voor Kunstmatige Intelligentie, in de volksmond AI genaamd. Verder volgt binnenkort de  Cyber Resilience Act, die gevolgen heeft voor fabrikanten van alle producten met een digitale component. In 2025 wordt de Batteries Regulation van kracht die betrekking heeft op de productie, het gebruik en hergebruik van batterijen en accumulatoren.

LET OP: Nederland voert de Cbw een jaar later in dan was bepaald. In andere Europese lidstaten is de regelgeving als gevolg van NIS2 vanaf 17 oktober 2024 van kracht.

Voor meer informatie over de Cyberbeveiligingswet kunt u terecht op de websites van het Digital Trust Center en/of het Nationaal Cyber Security Center.