De zorgplicht is een van de belangrijkste verplichtingen uit de Cyberbeveiligingswet (Cbw). Organisaties die onder de wet vallen, moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om risico's voor de beveiliging van hun netwerk- en informatiesystemen te beheersen.
De zorgmaatregelen hebben betrekking op de netwerk- en informatiesystemen die worden gebruikt voor de werkzaamheden of diensten waarvoor de organisatie onder de Cyberbeveiligingswet valt.
Wat houdt de zorgplicht in?
De zorgplicht verplicht organisaties om maatregelen te nemen die passen bij de risico's waarmee zij worden geconfronteerd. Daarbij moeten organisaties rekening houden met factoren zoals de aard van hun activiteiten, de kans dat risico's zich voordoen, de ernst van mogelijke gevolgen en de beschikbare technische mogelijkheden.
De zorgplicht is risicogebaseerd. Dit betekent dat organisaties eerst inzicht moeten hebben in hun risico's en op basis daarvan passende maatregelen moeten treffen.
De 10 zorgplichtmaatregelen
De Cyberbeveiligingswet bepaalt dat organisaties ten minste aandacht moeten besteden aan de volgende maatregelen:
- beleid inzake risicoanalyse en beveiliging van netwerk- en informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit, waaronder back-upbeheer, herstel na calamiteiten en crisisbeheer;
- beveiliging van de toeleveringsketen, waaronder beveiligingsaspecten in de relatie met leveranciers en dienstverleners;
- beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, waaronder de omgang met kwetsbaarheden;
- beleid en procedures voor het beoordelen van de effectiviteit van maatregelen voor het beheersen van cyberbeveiligingsrisico's;
- basispraktijken op het gebied van cyberhygiëne en opleidingen op het gebied van cyberbeveiliging;
- beleid en procedures inzake het gebruik van cryptografie en, waar passend, encryptie;
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets;
- het gebruik van multifactor-authenticatie of continue-authenticatieoplossingen, beveiligde communicatie en beveiligde noodcommunicatiesystemen, waar passend.
Bestuurlijke verantwoordelijkheid
De Cyberbeveiligingswet legt ook verantwoordelijkheden bij het bestuur van organisaties. Het bestuur moet toezicht houden op de uitvoering van de zorgplicht en de maatregelen voor het beheersen van cyberbeveiligingsrisico's goedkeuren.
Daarnaast moeten bestuurders beschikken over voldoende kennis en vaardigheden om cyberrisico's en de maatregelen die worden genomen te kunnen beoordelen. Om die reden bevat de wet ook een trainingsplicht voor bestuurders.
Nadere uitwerking van de zorgplicht
De zorgplicht is nader uitgewerkt in het Cyberbeveiligingsbesluit (Cbb) en in ministeriële regelingen. Hierin zijn aanvullende eisen gesteld aan de invulling van de zorgplicht. Ook kunnen sectorspecifieke bepalingen worden opgenomen.
Organisaties kunnen daarnaast gebruikmaken van bestaande normenkaders, zoals ISO 27001, NEN 7510 en BIO 2.0, om invulling te geven aan de zorgplicht.
Ondersteuning
Het Nationaal Cyber Security Centrum (NCSC) biedt diverse adviesproducten die organisaties kunnen ondersteunen bij het treffen van passende maatregelen en het invullen van de zorgplicht.
