Organisaties die vallen onder de Cyberbeveiligingswet (implementatiewet NIS2-richtlijn) krijgen onder andere te maken met zorgplicht, registratieplicht en meldplicht.

Registratieplicht

Organisaties zijn wettelijk verplicht zich te registreren in het nationaal register van entiteiten. Hiervoor is door het Nationaal Cyber Security Centrum (NCSC) een online registratievoorziening ontwikkeld. Sinds 17 oktober 2024 is het mogelijk om vrijwillig te registreren via een webformulier in het NCSC-portaal. Lees hier wat je nodig hebt om het registratieproces te doorlopen. Doordat alle lidstaten van de Europese Unie over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2-richtlijn op.De Cyberbeveiligingswet verplicht organisaties die onder de wet vallen om zich te registreren. Dit wordt de registratieplicht genoemd. Voor deze organisaties geldt een wettelijke verplichting om gegevens aan te leveren voor het entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid.

Zorgplicht

De zorgplicht onder de Cyberbeveiligingswet bevat als onderdeel zelf een risicoanalyse uit te voeren. Op basis van de uitkomsten daarvan nemen zij passende en evenredige maatregelen voor de beveiliging van hun netwerk- en informatiesystemen. De leden van bestuur van entiteiten moeten de maatregelen goedkeuren en toezien op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen. 

De Cyberbeveiligingswet schrijft 10 zorgplichtmaatregelen voor waar organisaties in ieder geval aan moeten voldoen. Organisaties kunnen bovendien kijken naar informatie over aanvullende normen en kaders die gelden in specifieke sectoren. Denk aan de zorg of de overheid. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.

Tien zorgplichtmaatregelen

  1. Beleid inzake risicoanalyse en beveiliging van informatiesystemen.
  2. Incidentenbehandeling.
  3. Bedrijfscontinuïteit, zoals back-upbeheer en herstelplannen, en crisisbeheer.
  4. De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen de entiteit en haar rechtstreekse leveranciers of dienstverleners.
  5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden.
  6. Beleid en procedures om de effectiviteit van maatregelen voor het beheersen van veiligheidsrisico's te beoordelen.
  7. Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging.
  8. Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie.
  9. Beveiligingsaspecten ten aanzien van personeel, toegangsveleid en beheer van assets.
  10. Wanneer gepast, het gebruik van multifactor-authenticatie of continue-authenticatieoplossingen, beveiligde spraak-, video-, en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.


De specifieke vereisten voor de maatregelen onder de zorgplicht worden verder uitgewerkt in concept Cyberbeveiligingswet en de lagere wetgeving; de algemene maatregel van bestuur (amvb) en de ministeriële regeling.

Het NCSC heeft verschillende adviesproducten ontwikkeld die kunnen helpen om deze maatregelen te nemen. Bekijk hier de NCSC website voor meer informatie. 

Meldplicht

De Cyberbeveiligingswet schrijft voor dat de onder deze wet vallende entiteiten significante incidenten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat hierbij om significante incidenten die de verlening van de diensten van de organisatie aanzienlijk (kunnen) verstoren. CSIRTs kunnen vervolgens bijstand verlenen. De drempelwaarden voor significante incidenten worden nog nader uitgewerkt. Voorbeelden van factoren die incidenten tot een significant incident maken zijn de omvang van de financiële verlizen voor de entiteit en/of het veroorzaken van (operationele) schade aan andere entiteiten dan de getroffen entiteit. Voor het doen van meldingen heeft het NCSC een centraal meldportaal ingericht. Het meldportaal is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of bijna-incidenten.

  • Vroegtijdige waarschuwing: De eerste stap is het doen van een vroegtijdige melding binnen 24 uur via het NCSC-portaal.
  • Vervolgmelding: De tweede stap is het doen van een vervolgmelding binnen 72 uur. Deze update bevat aanvullende informatie over het incident, gebaseerd op de eerste melding.
  • Eindverslag: De laatste stap is het indienen van een eindverslag uiterlijk één maand na de eerste melding. Dit verslag bevat een gedetailleerde omschrijving van het incident, de ernst en de gevolgen ervan.

Het is mogelijk dat een CSIRT of toezichthoudende instantie, het verzoek bij de organisatie indient voor een tussentijdsverslag. Dit is geen verplichte eis onder de meldplicht, maar het biedt de mogelijkheid voor de CSIRT of toezichthoudende instantie om meer informatie op te vragen in het afhandelen van een incident.

De specifieke vereisten voor het melden van incidenten worden verder uitgewerkt in de wet.

Lees op de website van het NCSC meer over meldplicht.

Vrijwillige meldingen
Daarnaast kunnen zowel organisaties die niet onder de Cyberbeveiligingswet vallen of waar het cyberincident niet plaatsvindt, ook vrijwillige meldingen doen via het NCSC-portaal. Dit betreft meldingen van niet-significante incidenten. Deze meldingen worden niet doorgestuurd naar de toezichthouder. Deze meldingen dragen bij aan het monitoren van de cyberweerbaarheid van sectoren.

Lees meer

Zie voor meer informatie het ingediende wetsvoorstel voor de Cyberbeveiligingswet en het concept van de algemene maatregel van bestuur.