Organisaties die vallen onder de Cyberbeveiligingswet krijgen onder andere te maken met:
Registratieplicht
Organisaties moeten zich registeren in het nationaal register van entiteiten. Er is hiervoor een online registratievoorziening ontwikkeld. In Nederland gebeurt dat bij het Nationaal Cyber Security Centrum (NCSC) op mijn.ncsc.nl. Na registratie krijgen Cbw-organisaties toegang tot de dienstverlening van het betreffende sectorale CSIRT.
Doordat alle lidstaten van de Europese Unie over zo’n register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2-richtlijn op.
Ga naar de website van het NCSC voor meer informatie over het doorlopen van een succesvolle registratie.
Zorgplicht
De zorgplicht houdt in dat organisaties passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Het gaat hierbij om de netwerk- en informatiesystemen die zij gebruiken voor hun werkzaamheden of voor het verlenen van hun diensten waarvoor zij onder de Cyberbeveiligingswet vallen. De maatregelen die organisaties in het kader van de zorgplicht moeten nemen zijn onder meer beleid voor het doen van een risicoanalyse en beveiliging van de toeleveringsketen.
Onder de zorgplicht vallen ten minste tien zorgplichtmaatregelen
Tien zorgplichtmaatregelen
- Beleid over risicoanalyse en beveiliging van informatiesystemen;
- Incidentenbehandeling.
- Bedrijfscontinuïteit, zoals back-upbeheer en herstelplannen, en crisisbeheer.
- De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen de entiteit en haar rechtstreekse leveranciers of dienstverleners;
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- Beleid en procedures om de effectiviteit van maatregelen voor het beheersen van cyberbeveiligingsrisico’s te beoordelen;
- Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
- Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
- Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets; en
- Wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Voor aanvullende normenkaders kunt u kijken naar de ministeriële regelingen voor uw sector of normenkaders zoals ISO 27001/NEN 7510 en BIO 2.0.
De specifieke vereisten voor de maatregelen onder de zorgplicht worden verder uitgewerkt in concept Cyberbeveiligingswet en de lagere wetgeving; de algemene maatregel van bestuur (amvb) en de ministeriële regeling.
Het NCSC heeft verschillende adviesproducten ontwikkeld die kunnen helpen om deze maatregelen te nemen. Bekijk hier de NCSC website voor meer informatie.
Meldplicht
Essentiële entiteiten en belangrijke entiteiten moeten significante incidenten melden aan hun Computer Security Incident Response Team (CSIRT) en de toezichthouder. Voor het doen van deze meldingen is een centraal meldportaal ingericht. In dit meldportaal kunnen organisaties in één keer melden bij hun CSIRT en toezichthouder.
Na de melding van een significant incident kan bijstand worden verkregen van het CSIRT.
Een incident is significant als het een ernstige verstoring van de diensten of financiële verliezen voor de organisatie veroorzaakt of kan veroorzaken óf andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken. In welke specifieke gevallen hiervan sprake is, wordt nog met sectorspecifieke drempelwaarden nader uitgewerkt in ministeriële regelingen.
Lees op de website van het NCSC meer over meldplicht.
Lees meer
Zie voor meer informatie het ingediende wetsvoorstel voor de Cyberbeveiligingswet en het concept van de algemene maatregel van bestuur.