Vragen en antwoorden

De NIS2 is een afkorting van de Network and Information Security 2-richtlijn.

De NIS2 is de opvolger van de eerste NIS1-richtlijn. In Nederland ook wel bekend als de NIB richtlijn (netwerk- en informatiebeveiliging). Deze is in Nederland in 2016 geïmplementeerd  in de Wet beveiliging netwerk- en informatiesystemen (Wbni).

Vind hier de Nederlandse vertaling van de NIS2-richtlijn.

De samenleving en economie worden steeds afhankelijker van digitale processen en netwerk- en informatiesystemen. Tegelijkertijd neemt de cyberdreiging toe. De NIS2-richtlijn heeft tot doel om de cyberbeveiliging in de EU verder te versterken. NIS2 wil dit bereiken door de verschillen tussen lidstaten op het gebied van de cyberbeveiligingseisen weg te nemen. Deze richtlijn is daarom gericht op een geharmoniseerde versterking van de cyberbeveiliging van de Europese lidstaten.

Weerbaarheid is het vermogen om een incident zoveel mogelijk te voorkomen, de impact te beperken of te beheersen, efficiënt en effectief te reageren op een incident en zo snel mogelijk te herstellen van een incident. Weerbaarheid gaat om alle soorten risico’s, onafhankelijk van de oorzaak (Denk bijvoorbeeld aan ongevallen, overstromingen, noodsituaties op het gebied van de volksgezondheid zoals een pandemie, terroristische misdrijven, criminele infiltratie of sabotage).

De richtlijn is op 16 januari 2023 in werking getreden voor de lidstaten. Sindsdien loopt er een implementatietermijn, die Nederland en de andere lidstaten 21 maanden de tijd geeft, om de richtlijn om te zetten naar nationale wetgeving. Dat betekent dat de nationale NIS2-implementatiewet, de Cyberbeveiligingswet, eigenlijk op 17 oktober 2024 in werking had moeten treden. Het implementeren van NIS2-richtlijn kost echter meer tijd dan verwacht, waardoor de deadline niet wordt gehaald. Al het nodige wordt gedaan om het implementatieproces zo vlot mogelijk te laten verlopen. De regering streeft ernaar dat de Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking treedt.

Voor in Nederland gevestigde organisaties die onder het toepassingsbereik van de NIS2-richtlijn vallen gelden de verplichtingen uit de NIS2-richtlijn vanaf het moment dat de Cbw in werking treedt. De regering streeft ernaar dat de Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking treedt.

De NIS1-richtlijn wordt ingetrokken met ingang van 17 oktober 2024 en vanaf deze datum is de NIS2-richtlijn van toepassing in de Europese Unie. Verwijzingen naar de NIS1-richtlijn, zoals bijvoorbeeld in de Wbni, kunnen dan ook beschouwd worden als verwijzingen naar de NIS2-richtlijn. Dit staat vermeld in artikel 44 van de NIS2-richtlijn. In Nederland zal de Wbni pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht.

In Nederland zal de NIS2-richtlijn geïmplementeerd worden door de Cyberbeveiligingswet (Cbw).

De Wbni wordt ingetrokken zodra de Cbw in werking treedt.

Nee, in het wetsvoorstel is geregeld dat de Wet open overheid niet van toepassing is op vertrouwelijke gegevens die onder andere de bevoegde autoriteit en het centrale contactpunt verwerken in het kader van de uitoefening van hun taken op grond van de Cyberbeveiligingswet.

De belangrijkste verplichtingen onder de Cbw zijn:

• Zorgplicht –  Entiteiten zijn verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende en evenredige technische, operationele en organisatorische maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
• Bestuur – De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij  een opleiding te volgen.
• Registratieplicht – Entiteiten zijn verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin entiteiten zichzelf registreren en aanmelden als NIS2-entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op.
• Meldplicht - Entiteiten moeten significante incidenten onverwijld, en indien niet mogelijk, binnen 24 uur melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de entiteit aanzienlijk (kunnen) verstoren. Voor het doen van meldingen wordt een centraal meldpunt ingericht door het NCSC. Het Meldportaal dat voor het doel van significante meldingen wordt ingericht is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of van bijna-incidenten.

De invulling van deze verplichtingen worden in lagere regelgeving en beleid uitgewerkt. Deze invulling kan per sector verschillen.

Entiteiten die onder de Cyberbeveiligingswet vallen hebben recht op advies en bijstand van een CSIRT. Deze ondersteuning kan verder bestaan uit informatie-uitwisseling, zoals het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen, en het verspreiden van informatie over cyberdreigingen, kwetsbaarheden en incidenten.

Marktinitiatieven betreffen een vorm van zelfregulering, waarbij een keurmerk als instrument wordt ingezet. Zelfregulering kan onder de juiste randvoorwaarden bijdragen aan het behalen van een maatschappelijk doel. Keurmerken hebben echter geen zelfstandige status in relatie tot het voldoen aan de wettelijke vereisten. Het is aan de toezichthouder om te bezien of een partij aan de wet voldoet. Er wordt dus vanuit de Rijksoverheid geen uitspraak gedaan over dit soort initiatieven.

Vanuit de Rijksoverheid (NCSC, DTC, RDI) worden voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet wel verschillende tools en kennisproducten opgesteld die partijen kunnen helpen bij het voldoen aan de vereisten uit de zorgplicht van de Cyberbeveiligingswet. Deze tools hebben geen juridische status en zijn bedoeld als hulpmiddel. Het is aan de toezichthouders om te bezien of een partij aan de wet voldoet.

De omzetting van de NIS2-richtlijn en de CER-richtlijn naar nationale wetgeving is een omvangrijk en complex traject, waarbij grote zorgvuldigheid is vereist. Dit omdat de wetten en lagere wetgeving waarin de NIS2-richtlijn en de CER-richtlijn worden omgezet aanzienlijke impact hebben op Nederlandse organisaties, zowel in de publieke als in de private sector. Er zijn ten opzichte van bestaande wetgeving/beleid meer en nieuwe sectoren en significant meer organisaties die moeten voldoen aan de nieuwe wetgeving. Bij de NIS2-richtlijn gaat het om 18 sectoren, bij de CER-richtlijn gaat het om 11 sectoren. De toepasselijkheid op vele sectoren heeft er ook toe geleid dat interdepartementale afstemming met bijna alle departementen vereist is.

Beide richtlijnen bevatten veel onderwerpen, zoals de zorgplicht, de opleidingsverplichting, de meldplicht, gegevensuitwisseling (waaronder persoonsgegevens en bijzondere persoonsgegevens), de verplichtingen om bepaalde gegevens te verstrekken, toezicht en handhaving. Binnen al die onderwerpen zijn er diverse subonderwerpen en vraagstukken.

Vanwege de hiervoor genoemde impact op organisaties is ervoor gekozen om het implementatiewetsvoorstel Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten open te stellen voor internetconsultatie, hoewel dit bij implementatiewetgeving niet verplicht is. Naar aanleiding daarvan zijn de implementatiewetsvoorstellen op verschillende onderdelen aangepast en zijn de bijbehorende toelichtingen op punten aangevuld of verduidelijkt.

De regering streeft ernaar dat de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten in het tweede kwartaal van 2026 in werking treden. De haalbaarheid hiervan is mede afhankelijk van de voortgang van de parlementaire behandeling van de wetsvoorstellen.

De Wbni zal pas worden ingetrokken op het moment dat de Cyberbeveiligingswet inwerking treedt. Tot die tijd blijft de Wbni van kracht, voor zover zij niet in strijd is met de NIS2-richtlijn.

Voor een entiteit die nu al onder de Wbni valt, blijven de in die wet geregelde verplichtingen gelden totdat deze wet wordt ingetrokken. Voor een entiteit die niet onder de Wbni valt, maar straks wel onder de Cyberbeveiligingswet, zijn er tot het moment van inwerkingtreding van de Cyberbeveiligingswet nog geen verplichtingen. De verplichtingen uit de Cyberbeveiligingswet evenals het toezicht daarop zullen ingaan op het moment van inwerkingtreding van de Cyberbeveiligingswet. Wel wordt entiteiten aangeraden om zich alvast voor te bereiden op de komst van de Cyberbeveiligingswet. Entiteiten kunnen de quickscan gebruiken om zich voor te bereiden. Ook heeft het Nationaal Cyber Security Centrum meerdere kennisproducten gepubliceerd die handvaten bieden ter voorbereiding op de Cyberbeveiligingswet, zie hier.

Voor entiteiten die behoren tot de sectoren digitale infrastructuur, beheer van ICT-diensten en digitale aanbieders worden op dit moment onder regie van de Europese Commissie uitvoeringshandelingen opgesteld over de zorgplicht en meldplicht. Deze zullen naar verwachting dit najaar in werking treden. Hierop kan echter nog geen toezicht worden gehouden en geen handhaving plaatsvinden zolang de Cyberbeveiligingswet nog niet in werking is getreden.

Aan de hand van in welke sector een organisatie actief is en wat de grootte van een organisatie is wordt bepaald of deze organisatie onder de NIS2-richtlijn valt, en daarmee ook onder de Cbw. De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:

Een organisatie is ‘groot’ als:

1. Minimaal 250 personen werkzaam zijn of;
2. Er sprake is van een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro

Een organisatie is ‘middelgroot’ als:

1. Minimaal 50-249 personen werkzaam zijn of;
2. Er sprake is van een jaaromzet van meer dan 10 miljoen euro (en minder dan 50 miljoen euro), en een balanstotaal van meer dan 10 miljoen euro (en minder dan 43 miljoen euro).

Vervolgens wordt aan de hand van de genoemde sectoren in bijlage I en II van de Cyberbeveiligingswet bepaald of een organisatie als een ‘kritieke entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie. Daarmee kunnen ze alsnog onder de Cbw komen te vallen.

Een uitzondering geldt voor de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwens-dienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinregistratiediensten. Al deze organisaties (zowel groot, middelgroot als micro/klein), dus ongeacht hun omvang vallen direct onder de Cbw.

Er is een zelf-evaluatietool gepubliceerd waarmee entiteiten kunnen bepalen of zij van rechtswege onder de reikwijdte van de Cbw vallen. Deze is te vinden op https://regelhulpenvoorbedrijven.nl/NIS-2-NL.

Voor overheidsorganisaties geldt een aantal specifieke bepalingen:

• De NIS2-richtlijn is van toepassing op Rijksoverheidsorganisaties, ongeacht hun omvang.
• Zbo’s worden tot rijksoverheidsorganisaties gerekend. Voor zbo’s geldt alleen dat zij pas onder de reikwijdte van de Cbw vallen als zij aan de criteria van overheidsinstantie uit de Cbw voldoen.
• Het kabinet heeft ervoor gekozen de NIS2-richtlijn ook van toepassing te laten zijn op lokale overheden, zoals gemeenten, provincies en waterschappen.
• De NIS2-richtlijn is niet van toepassing op overheidsorganisaties die activiteiten uitvoeren op het gebied van de nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Dit geldt onder andere voor de veiligheidsregio’s, het Ministerie van Defensie, het openbaar ministerie en de politie.
• De NIS2-richtlijn is niet van toepassing de rechterlijke macht, de Eerste en Tweede Kamer en De Nederlandsche Bank.

De NIS2-richtlijn kent een bepaalde systematiek waarbij entiteiten van rechtswege onder de richtlijn vallen en daarnaast bepaalde entiteiten pas onder de werking van de richtlijn vallen nadat zij door een lidstaat in het wetgevingsproces zijn aangewezen op basis van criteria in de richtlijn. Deze systematiek is gevolgd in de Cyberbeveiligingswet. Voor entiteiten die van rechtswege onder de wet vallen is de volgende tool ontwikkeld: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/. Deze tool kan behulpzaam zijn voor het vaststellen of een partij al dan niet van rechtswege onder de Cyberbeveiligingswet valt.

Of je organisatie onder de Cyberbeveiligingswet valt hangt af van de sector waarin je actief bent en de grootte van je organisatie. De grootte van een organisatie wordt bepaald aan de hand van twee categorieën:

Een organisatie is ‘groot’ als er:

1. Minimaal 50-249 personen werkzaam zijn of;
2. Er sprake is van een jaaromzet van meer dan 10 miljoen euro (en minder dan 50 miljoen euro), en een balanstotaal van meer dan 10 miljoen euro (en minder dan 43 miljoen euro).

Een organisatie is ‘middelgroot’ als er: 

1. Minimaal 50 personen werkzaam zijn of; 
2. Er sprake is van een jaaromzet van meer dan 10 miljoen euro, en een balanstotaal van meer dan 10 miljoen euro

Deze criteria staan opgenomen in Aanbeveling 2003/361/EG van de Commissie. Voor meer informatie, zie de Gebruikersgids bij de definitie van kleine tot middelgrote ondernemingen.

De hele entiteit moet voldoen aan de eisen uit de Cyberbeveiligingswet. Deze wet geldt ook voor de onderdelen van de organisatie die andere producten of diensten leveren. Ook voor die organisatieonderdelen geldt de plicht om (passende en evenredige) maatregelen te treffen om de weerbaarheid te waarborgen. Ook geldt in beginsel een meldplicht voor een incident bij dat andere organisatieonderdeel. Het is evenwel goed denkbaar dat incidenten bij die andere organisatieonderdelen nooit significante gevolgen hebben voor de entiteit of de maatschappij. In dat geval hoeft een incident niet te worden gemeld.

De Rijksoverheid roept organisaties op om zich voor te bereiden op de inwerkingtreding van de wet- en regelgeving. De risico’s die organisaties lopen, doen zich immers nu al voor. Bekijk meer informatie over hoe organisaties zich kunnen voorbereiden op de komst van de Cyberbeveiligingswet, de Wet weerbaarheid kritieke entiteiten en onderliggende regelgeving.

Organisaties die nu al in actie komen beveiligen zich niet alleen tegen bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Zo kunnen zij analyses uitvoeren naar de digitale en fysieke risico’s, het bewustzijn onder het personeel ten aanzien van risico’s en veiligheidsmaatregelen vergroten en de procedures bij incidenten verder aanscherpen.

Tot de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gelden er geen verplichtingen voor organisaties vanuit de CER-richtlijn en de NIS2-richtlijn. Met betrekking tot de Cyberbeveiligingswet hebben organisaties al wel in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn. Zoals het ontvangen van bijstand bij een incident door een Computer security incident response team (CSIRT). 

Voor sectorspecifieke vragen kunt u terecht bij het ministerie dat verantwoordelijk is voor de sector waarin uw organisatie actief is:

• Ministerie van Binnenlandse Zaken
• Ministerie van Economische Zaken
• Ministerie van Financiën
• Ministerie van Infrastructuur en Waterstaat
• Ministerie van Landbouw, Visserij, Voedsel en Natuur
• Ministerie van Volksgezondheid, Welzijn en Sport

Bekijk de Cyberbeveiligingswet doorverwijsboom voor een uitgebreider overzicht van de verantwoordelijke ministeries, CSIRTS en toezichthouders per sector.

Vooruitlopend op de komst van de Cyberbeveiligingswet kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de sites van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center staat bijvoorbeeld een aantal maatregelen die organisaties kunnen nemen om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. Ook kan er gedacht worden aan het:

• In kaart brengen van de gebruikte netwerk- en informatiesystemen Inventariseren en analyseren van risico’s.
• Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing
• Het organiseren van incident response. Identificeren van alternatieve toeleveringsketens.
• Bewustwording van personeel van risico’s en te nemen maatregelen.
• In kaart brengen van de eigen assets (dus de eigen netwerk- en informatiesystemen).
• Ook is het verstandig om budget en capaciteit te reserveren dat nodig is om aan de richtlijnen te voldoen.

De essentiële en belangrijke entiteiten hebben een wettelijke verplichting om gegevens aan te leveren voor een zogenoemd entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid van belangrijke en essentiële diensten en organisaties.

Tegelijkertijd moeten bevoegde autoriteiten, toezichthouders en CSIRT’s over deze gegevens kunnen beschikken voor het uitoefenen van hun wettelijke taken. Om ervoor te zorgen dat entiteiten deze informatie laagdrempelig kunnen aanleveren en beheren is ervoor gekozen om een registratiemechanisme in te richten bij de Minister van Justitie en Veiligheid. Via een technische oplossing wordt gewaarborgd dat bevoegde autoriteiten, toezichthouders en CSIRT’s uitsluitend toegang krijgen tot de gegevens uit het register voor zover zij deze nodig hebben voor het uitvoeren van hun wettelijke taken onder deze richtlijn. Op die manier wordt de groep die toegang heeft tot deze gegevens zo beperkt mogelijk gehouden. Voor meer informatie over registratie kunt u terecht op de website van het NCSC.

Essentiele entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, kunnen zich per 17 oktober 2024 op vrijwillige basis registreren bij het NCSC. Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingsdienst verplicht. Om ervoor te zorgen dat entiteiten de informatie voor de registratie laagdrempelig kunnen aanleveren en beheren, heeft het kabinet ervoor gekozen om een centrale registratiefunctionaliteit in te richten bij het NCSC. In dit registratieportaal is het ook mogelijk incidenten vrijwillig te melden. Voor meer informatie over registratie kunt u terecht op de website van het NCSC.

Om te kunnen registreren moet u inloggen bij het portaal met behulp van e-Herkenning. Via eHerkenning kan de authenticatie voor organisaties worden vastgesteld. eHerkenning is persoonsgebonden en niet overdraagbaar aan anderen. Dit maakt het een zeer veilige toepassing voor inloggen. Wilt u inloggen op MijnNCSC met eHerkenning? Vraag dan een machtiging bij de eHerkenning beheerder in uw organisatie. Alleen deze persoon kan zorgen voor eHerkenning voor MijnNCSC op uw naam.

Op dit moment is registratie in het NCSC-portaal nog niet verplicht, omdat de Cyberbeveiligingswet nog niet in werking is getreden. Tot de inwerkingtreding van de wet kunnen entiteiten zich wel al op vrijwillige basis registreren bij het NCSC. Tijdens deze periode hebben organisaties wel rechten, maar nog geen plichten. Meer informatie over deze overgangsperiode leest u hier.

De NIS2-richtlijn schrijft in artikel 3, derde lid, voor dat lidstaten een lijst dienen op te stellen van essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen. Om onder andere aan deze verplichting te kunnen voldoen zijn deze entiteiten vanaf de inwerkingtreding van de Cyberbeveiligingswet verplicht om bepaalde gegevens te delen en actueel te houden, zoals hun contactgegevens en de sector(en) waarin zij actief zijn. Met het oog daarop wordt een centraal registratiefunctionaliteit ontwikkeld. Vanaf 17 oktober is voor entiteiten die van rechtswege onder de NIS2-richtlijn vallen mogelijk zich, vooruitlopend op de inwerkingtreding van de Cyberbeveiligingswet, vrijwillig te registreren. Benadrukt wordt dat de verplichting tot registratie voor entiteiten pas ontstaat op het moment dat de Cyberbeveiligingswet in werking treedt. Registeren kan op mijn.ncsc.nl. Lees hier wat je nodig hebt om het registratieproces te doorlopen.

De richtlijn voorziet er niet in dat organisaties zich in één keer voor alle EU-lidstaten waar zij actief zijn kunnen registeren. Voor de meeste organisaties, die onder het toepassingsbereik van de richtlijn vallen, geldt dat zij in elk land waar zij zijn gevestigd en hun diensten verlenen voor bijvoorbeeld registratie en toezicht onder de wetgeving van dat land vallen (er zijn uitzonderingen, e.g. partijen die digitale dienstverleners zijn kunnen gevestigd zijn in Nederland, maar onder de wetgeving van een andere lidstaat vallen). Ook zal een significant incident in iedere EU-lidstaat gemeld moeten worden. Is een organisatie dus bijvoorbeeld zowel in Nederland als in België gevestigd en van daaruit actief, dan geldt de Nederlandse wetgeving voor de vestiging in Nederland én de Belgische wetgeving voor die andere vestiging.

Wel zullen de toezichthoudende instanties onderling afspraken maken om onder meer onevenredig veel toezicht door de verschillende inspectiediensten te voorkomen. Het uitgangspunt is dat de meldplicht op zo’n manier wordt ingericht dat het zo min mogelijk tijd kost. Er wordt naar gestreefd het meldportaal technisch zó in te richten, dat het doen van de melding van een significant incident in Nederland maar één handeling vergt.

Entiteiten die zich registreren kunnen aanspraak maken op ondersteuning door de CSIRT. Zonder die registratie kan die ondersteuning feitelijk niet worden gegeven.

Tevens wordt toezicht gehouden op de naleving van de registratieplicht van de Cyberbeveiligingswet. Als een toezichthouder vaststelt dat een organisatie zich onterecht niet heeft geregistreerd als essentiële entiteit bijvoorbeeld, kan een bindende aanwijzing of een last onder dwangsom worden gegeven zodat de organisatie zich alsnog registreert. Andersom is het ook mogelijk dat organisaties zich ten onrechte registreren. Het wetsvoorstel voorziet in dat geval in de bevoegdheid om die registratie te beëindigen.

Zodra de Cyberbeveiligingswet in werking treedt hebben essentiële en belangrijke entiteiten een zorgplicht. Dit houdt in dat zij passende en evenredige maatregelen moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen, om incidenten te voorkomen én om de gevolgen van incidenten te beperken.

De Cyberbeveiligingswet noemt verschillende maatregelen die in het kader van de zorgplicht in elk geval moeten worden genomen. Daartoe behoren onder meer beleid inzake risicoanalyse, incidentenbehandeling en bedrijfscontinuïteit.
Deze maatregelen worden verder uitgewerkt in de op de Cyberbeveiligingswet te baseren lagere wetgeving, namelijk het Cyberbeveiligingsbesluit en ministeriële regelingen.

Elk departement stelt een ministeriële regeling op voor de sectoren waarvoor het verantwoordelijk is. Daarin worden sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van een incident en de maatregelen die genomen moeten worden in het kader van de zorgplicht. De departementen zullen de betrokken sectoren waar nodig consulteren om per sector zo veel mogelijk maatwerk te leveren. Deze ministeriële regelingen worden telkens na overleg met het ministerie van Justitie en Veiligheid vastgesteld én treden tegelijk met de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit in werking.

Zodra de Cyberbeveiligingswet in werking treedt, worden essentiële en belangrijke entiteiten verplicht om significante cyberincidenten te melden. Het meldproces bestaat uit de volgende wettelijk vastgelegde stappen:

• Vroegtijdige waarschuwing: De eerste stap is het moeten doen van een vroegtijdige waarschuwing over een significant incident binnen uiterlijk 24 uur nadat de entiteit kennis daarvan heeft gekregen.
• Melding, update: De tweede stap is het doen van een melding binnen uiterlijk 72 uur nadat de entiteit kennis heeft gekregen van het significante incident. Deze melding betreft onder meer een update van de met de waarschuwing gegeven én een initiële beoordeling van de ernst en de gevolgen van het incident.
• Tussentijds verslag: Op verzoek van het CSIRT of de toezichthouder dient de entiteit een verslag in over relevante updates van de situatie.
• Eindverslag: De laatste stap is het indienen van een eindverslag uiterlijk één maand na de melding. Dit verslag bevat onder meer een gedetailleerde omschrijving van de ernst en de gevolgen van het incident  én de toegepaste of lopende risicobeperkende maatregelen.

Voor organisaties die als essentiële of belangrijke entiteit hun diensten verlenen in meerdere van de in de richtlijn genoemde sectoren, geldt dat zij verschillende toezichthouders kunnen hebben. In dat geval zullen zij dus van een significant incident, naast het CSIRT, mogelijk bij meerdere toezichthouders melding moeten maken. Toezichthouderes werken zoveel mogelijk samen bij het toezicht houden. Zij zullen onderling afspraken maken om onder meer onevenredig veel toezicht door de verschillende inspectiediensten te voorkomen.

Het uitgangspunt is dat de meldplicht op zo’n manier wordt ingericht dat het zo min mogelijk tijd kost. Er wordt naar gestreefd het meldportaal technisch zó in te richten, dat het doen van de melding van een significant incident maar één handeling vergt. Het doen van een melding heeft ook voordelen voor de meldende entiteit. Zo kan het CSIRT (Computer Security Incident Response Team) bijstand verlenen in de vorm van informatieverstrekking of technische ondersteuning.

De amvb is een nadere uitwerking van de Cyberbeveiligingswet in regelgeving. Onderwerpen zoals de zorgplicht, registratieplicht en opleidingsplicht voor bestuurders, worden hierin nader uitgewerkt. Voor de meldplicht is er echter voor gekozen om sectorspecifieke bepalingen, zoals de drempelwaarden van een incident, nader uit te werken in een ministeriële regeling per departement. Met name omdat de sectoren en organisaties onderling veel verschillen, waardoor sectorbrede criteria niet goed zou werken. Deze ministeriële regelingen treden tegelijk met de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit in werking.

In de NIS2-richtlijn is bepaald dat het bestuur van een organisatie de maatregelen moeten goedkeuren die hun organisatie neemt om aan de zorgplicht te voldoen. Deze bepaling is overgenomen in de Cyberbeveiligingswet. Ieder lid van het bestuur dient voldoende kennis en vaardigheden te hebben om onder meer risico’s voor de beveiliging van het netwerk- en informatiesystemen te kunnen identificeren én de risicobeheersmaatregelen op het gebied van cyberbeveiliging te kunnen beoordelen. Om dit te kunnen aantonen, moet ieder lid van het bestuur een training volgen en een certificaat behalen. In het Cyberbeveiligingsbesluit staan de eisen voor deze training, waaronder de verplichte onderwerpen die aan bod moeten komen.

In de training moeten de volgende onderwerpen aan bod komen:

• Kennis over de verschillende soorten risico’s nodig die spelen bij netwerk- en informatiesystemen (zoals malware, insider threats of DDoS-aanvallen).
• Inzicht in de mogelijke gevolgen van deze risico’s.
• Inzicht in hoe het risicomanagementproces en de bijbehorende methodiek in elkaar zit binnen de organisatie.
• Kennis en vaardigheden om risicobeheersmaatregelen op het gebied van cyberbeveiliging en de gevolgen van die maatregelen te kunnen beoordelen. Het doel is om bestuursleden goed te kunnen laten meedenken op strategisch niveau.

Ja, na afloop van de training moet er een certificaat worden uitgereikt. Uit het certificaat moet blijken welke onderwerpen zijn behandeld. Dit is nodig om na te kunnen gaan of de training voldoet aan de eisen die aan de training worden gesteld in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit.

Er is geen verplichte herhaling, maar de kennis van bestuursleden moet wel actueel blijven. Hoe dat gebeurt, mogen organisaties zelf bepalen. Dat hoeft niet per se opnieuw met dezelfde training of met een nieuw certificaat, zolang het maar aantoonbaar is.

Het certificaat moet opgesteld zijn in het Nederlands of Engels. Dat is nodig zodat toezichtorganisaties het goed kunnen controleren. De training zelf mag overigens wel in een andere taal gegeven worden.

Zonder training en certificaat voldoet een bestuurder niet aan de wettelijke eisen. Dit kan gevolgen hebben bij toezicht, audits of incidenten waarbij de digitale veiligheid van de organisatie in het geding is.

Nee, dit is niet het geval. De essentiële of belangrijke entiteit is primair zelf verantwoordelijk voor het voldoen aan de in de Cyberbeveiligingswet opgenomen verplichtingen, waaronder de zorgplicht. Die verplichting houdt in dat de  passende en evenredige maatregelen moet nemen om de risico’s voor de beveiliging van haar netwerk- en informatiesystemen te beheersen, incidenten te voorkomen én de gevolgen van incidenten voor de afnemers van haar diensten te beperken. Die maatregelen dienen onder meer beleid inzake risicoanalyse en incidentenbehandeling te omvatten. Hiervoor kan ook een andere private organisatie worden ingeschakeld, zoals een managed security service provider. In aanvulling daarop geldt krachtens de Cyberbeveiligingswet dat het CSIRT onder meer tot taak heeft om cyberdreigingen, kwetsbaarheden en incidenten op nationaal niveau te monitoren en te analyseren, organisaties dáárover informatie te verstrekken, organisaties bijstand te verlenen in geval van incidenten. Ook kan het CSIRT op verzoek van de organisatie netwerk- en informatiesystemen van die organisatie scannen om kwetsbaarheden op te sporen. De ondersteuning vanuit het CSIRT is dus geen vervanging van reguliere cyberbeveiligingsdiensten.

De essentiële of belangrijke entiteit is primair zelf verantwoordelijk voor het voldoen aan de in de Cyberbeveiligingswet opgenomen verplichtingen, waaronder de zorgplicht. Die verplichting houdt in dat de organisatie passende en evenredige maatregelen moet nemen om de risico’s voor de beveiliging van haar netwerk- en informatiesystemen te beheersen, incidenten te voorkomen én de gevolgen van incidenten voor haar diensten te beperken. Die maatregelen omvatten onder meer beleid inzake risicoanalyse en incidentenbehandeling. Hiervoor kan de organisatie ook een andere organisatie inschakelen, zoals een managed security service provider. Het CSIRT heeft tot taak om cyberdreigingen, kwetsbaarheden en incidenten op nationaal niveau te monitoren en te analyseren, entiteiten dáárover informatie te verstrekken, organisaties bijstand te verlenen in geval van incidenten én organisaties desgevraagd bij te staan bij het monitoren van haar systemen. Ook kan het CSIRT op verzoek van de organisatie netwerk- en informatiesystemen van de organisatie proactief scannen om kwetsbaarheden op te sporen. De ondersteuning vanuit het CSIRT is dus geen vervanging van reguliere cyberbeveiligingsdiensten.

Entiteiten die onder de Wbni vallen behouden hun rechten, zoals de bijstand van het CSIRT, totdat de Cyberbeveiligingswet in werking treedt. De NIS2-richtlijn kent een soortgelijk recht op onder meer bijstand door een CSIRT. Entiteiten die onder de NIS2-richtlijn vallen, kunnen na 17 oktober 2024 een beroep doen op deze bijstand door een CSIRT. De bijstand bestaat in ieder geval uit het ondersteunen van de entiteit op het moment dat er sprake is van een dreiging of incident in een netwerk- en informatiesysteem. Het kan zijn dat entiteiten zowel onder de Wbni als van rechtswege onder de NIS2-richtlijn vallen. Die entiteiten kunnen vanaf 17 oktober 2024 op grond van zowel de Wbni als de NIS2-richtlijn een beroep doen op bijstand door een CSIRT. Mochten er veel entiteiten tegelijkertijd om bijstand vragen, dan zal er prioritering plaatsvinden door het CSIRT op basis van een risicoafweging.

Op deze verwerking van persoonsgegevens is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent onder meer dat het CSIRT moet voldoen aan de daarin opgenomen verplichtingen met betrekking tot de beveiliging van de verwerking van persoonsgegevens, waaronder IP-adressen maar ook contactgegevens van degene die een melding doet. De Autoriteit Persoonsgegevens en de functionaris voor gegevensbescherming houden op de naleving hiervan toezicht.

De CSIRT kan in aanraking komen met persoonsgegevens die verwerkt worden door entiteiten aan wie ondersteuning wordt geboden. Dat kan een grote verscheidenheid aan persoonsgegevens zijn. Daarom is dat niet nauwkeuriger te beschrijven.

Indien een CSIRT persoonsgegevens wil delen met derde landen, moet het voldoen aan de daaraan in de Algemene verordening gegevensbescherming (AVG) gestelde verplichtingen. Daarnaast gelden op basis van de AVG echter ook nog specifieke eisen voor verstrekkingen aan landen buiten de Europese Unie. De artikelen 44 en verder van de AVG, die daarop van toepassing zijn, gelden onverkort.

De essentiële of belangrijke entiteit is primair zelf verantwoordelijk voor het voldoen aan de in de Cyberbeveiligingswet opgenomen verplichtingen, waaronder de zorgplicht. Die verplichting houdt in dat de organisatie passende en evenredige maatregelen moet nemen om de risico’s voor de beveiliging van haar netwerk- en informatiesystemen te beheersen, incidenten te voorkomen én de gevolgen van incidenten voor haar diensten te beperken. Die maatregelen omvatten onder meer beleid inzake risicoanalyse en incidentenbehandeling. Hiervoor kan de organisatie ook een andere organisatie inschakelen, zoals een managed security service provider. Het CSIRT heeft tot taak om cyberdreigingen, kwetsbaarheden en incidenten op nationaal niveau te monitoren en te analyseren, entiteiten dáárover informatie te verstrekken, organisaties bijstand te verlenen in geval van incidenten én organisaties desgevraagd bij te staan bij het monitoren van haar systemen. Ook kan het CSIRT op verzoek van de organisatie netwerk- en informatiesystemen van de organisatie proactief scannen om kwetsbaarheden op te sporen. De ondersteuning vanuit het CSIRT is dus geen vervanging van reguliere cyberbeveiligingsdiensten.

Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Entiteiten die van rechtswege onder de NIS2-richtlijn vallen, hebben pas een zorg- en meldplicht als bedoeld in die richtlijn op het moment dat de Cyberbeveiligingswet in werking treedt en zij onder de jurisdictie van Nederland vallen. Nederlandse toezichthouders zullen dus ook niet, voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet, toezien op de naleving van deze verplichtingen.

Voor onderstaande entiteiten kan bijvoorbeeld de hoofdvestiging van een entiteit relevant zijn voor de vraag onder de jurisdictie van welke lidstaat die entiteit valt (zie artikel 26 NIS2-richtlijn):  

• DNS-dienstverleners, verleners van domeinregistratiediensten, cloud computing service providers, data centre service providers, content delivery network providers, aanbieders van vertrouwensdienstverleners.
• Managed service providers, managed security service providers
• Aanbieders van online marktplaatsen, online zoekmachines en sociale media platforms

Deze entiteiten kunnen daarom wel al eerder te maken krijgen met regelgeving van een andere lidstaat.

De zorgplichtmaatregelen van de Cyberbeveiligingswet hebben indirecte impact op rechtstreekse toeleveranciers en dienstverleners van organisaties die rechtstreeks onder de Cyberbeveiligingswet vallen. Toeleveranciers van organisaties, die onder de Cyberbeveiligingswet vallen, vallen niet onder het Cyberbeveiligingswet-toezicht. De indirecte impact zit in het feit dat rechtstreekse toeleveranciers door een Cyberbeveiligingswet-organisatie benaderd kunnen worden met het verzoek om de beveiliging te verhogen om zo de keten veiliger te maken. Welke maatregelen verlangd mogen worden, hangt af van de risico’s die de Cyberbeveiligingswet-organisatie inventariseert. 

Vind op de website van het Digital Trust Center (DTC) meer informatie over de Cyberbeveiligingswet en toeleveranciers.

Een rechtstreekse toeleverancier van een organisatie, die onder de Cyberbeveiligingswet valt, is een belangrijke schakel in de keten. Naast het op orde brengen van de basisbeveiliging, kan de Cyberbeveiligingswet-organisatie van toeleveranciers verlangen om specifieke maatregelen te treffen om de veiligheid te vergroten. Welke maatregelen getroffen kunnen worden, vindt u op de website van het Digital Trust Center (DTC).

Deze bevoegdheid houdt in dat essentiële of belangrijke entiteiten als bedoeld in de Cbw verplicht kunnen worden om producten of diensten van specifieke leveranciers niet te gebruiken in daarbij aangewezen onderdelen van hun netwerk- en informatiesystemen. Deze verplichting kan alleen door de vakminister worden opgelegd als dat noodzakelijk wordt geacht om risico’s voor de beveiliging van die systemen die de nationale veiligheid raken te beheersen of om incidenten die nationale veiligheid raken te voorkomen. De vakminister beslist hierover in overeenstemming met de minister van Justitie en Veiligheid.

Dit is geregeld in artikel 18 van het Cbb (Cyberbeveiligingsbesluit). Daarin staat dat essentiële entiteiten en belangrijke entiteiten in het kader van de voor hen wettelijk geldende zorgplicht verplicht kunnen worden producten of diensten van bepaalde leveranciers in onderdelen van hun netwerk- en informatiesystemen te weren als dat naar het oordeel van de vakminister noodzakelijk is, ter beheersing van risico’s voor de beveiliging van die systemen die de nationale veiligheid raken of ter voorkoming van incidenten die de nationale veiligheid raken. De vakminister dient hiervoor een beoordelingskader te doorlopen en aan de hand daarvan te bepalen of er al dan niet sprake is van de noodzaak om de verplichting op te leggen.

De vakminister beslist hierover in overeenstemming met de Minister van Justitie en Veiligheid.

De verplichting om geen gebruik te maken van producten of diensten van bepaalde leveranciers geldt uitsluitend voor de onderdelen van de netwerk- en informatiesystemen die in de ministeriële beschikking, waarmee de verplichting wordt opgelegd, expliciet zijn aangewezen. Bij het bepalen welke onderdelen worden aangewezen wordt het volgende proces gevolgd:

1. Identificatie van kritieke onderdelen: Het moet hierbij gaan om onderdelen waarvoor geldt dat leveranciers uitgebreide toegang krijgen tot bijvoorbeeld gevoelige locaties of gevoelige ICT-systemen én waarbij misbruik daarvan een risico kan vormen voor de nationale veiligheid.
2. Beoordeling van noodzaak: De verplichting wordt alleen opgelegd als die in relatie tot die kritieke onderdelen noodzakelijk is om risico’s voor de nationale veiligheid te beheersen. Dat houdt in dat er geen andere beveiligingsmaatregelen in het kader van de zorgplicht mogelijk en realiseerbaar zijn om het risico voldoende te beheersen.
3. Beperking van reikwijdte: Alleen de onderdelen waarvoor deze noodzaak geldt worden in de beschikking aangewezen. De verplichting om enkel gebruik te maken van producten of diensten van vertrouwde leveranciers wordt dus tot die onderdelen beperkt.

Risico’s voor de nationale veiligheid die tot opleggen van de verplichting tot het weren van producten of diensten van leveranciers in specifieke onderdelen van de netwerk- en informatiesystemen van een entiteit aanleiding kunnen geven, zijn bijvoorbeeld:

• Sabotage, spionage of beïnvloeding door statelijke actoren of andere derden.
• Ransomware-aanvallen die bijvoorbeeld de continuïteit van (vitale) processen verstoren of vertrouwelijke informatie doen weglekken.

Een entiteit kan verplicht worden om producten of diensten van leveranciers uit kritieke onderdelen van haar netwerk- en informatiesystemen te weren. Zo’n verplichting kan alleen worden opgelegd als dit noodzakelijk is om risico’s voor de beveiliging van die systemen die de nationale veiligheid raken te beheersen. Voor de wettelijke regeling van de bevoegdheid tot het opleggen hiervan is aanleiding gezien, omdat:

• Nederland wordt steeds vaker geconfronteerd met cyberaanvallen op (al dan niet vitale) processen, die worden uitgevoerd door zowel statelijke als criminele actoren.
• De verwachting is dat deze dreiging de komende jaren aanhoudt, omdat een digitaal aanvalsprogramma relatief eenvoudig is op te zetten en aanvallen steeds moeilijker te herleiden naar de daders.
• Recente jaarverslagen van de inlichtingen- en veiligheidsdiensten laten zien dat steeds meer landen offensieve cyberprogramma’s ontwikkelen en inzetten om hun politieke doelstellingen na te streven.