De Cyberbeveiligingswet (NIS2) in het kort
De Nederlandse Cyberbeveiligingswet zet de Europese NIS2-richtlijn om in nationale wetgeving. Dit zijn de verplichtingen, de scope en de deadlines die ertoe doen.
Tijdlijn & deadlines
NIS2-richtlijn in werking
De Europese NIS2-richtlijn (EU 2022/2555) treedt in werking; lidstaten moeten haar omzetten in nationale wetgeving.
EU-omzettingsdeadline
Uiterste datum waarop lidstaten NIS2 in nationale wet moesten hebben omgezet. Nederland heeft deze datum niet gehaald.
Cyberbeveiligingswet treedt in werking
De Nederlandse Cyberbeveiligingswet (Cbw) vervangt de Wbni. De exacte datum kan nog schuiven.
Registratie-, zorg- en meldplicht
Organisaties die eronder vallen registreren zich, vullen de zorgplicht in en melden significante incidenten.
Valt uw organisatie eronder?
NIS2 onderscheidt essentiële en belangrijke entiteiten, op basis van sector en omvang. Veel meer organisaties vallen eronder dan onder de oude wet.
Essentiële entiteiten
O.a. energie, drinkwater, digitale infrastructuur, zorg, transport, bankwezen en overheidsdiensten, met streng, ook vooraf, toezicht.
Belangrijke entiteiten
O.a. post en koeriers, afvalbeheer, levensmiddelen, digitale aanbieders en bepaalde maakindustrie, met toezicht vooral achteraf.
Omvangsdrempel
In de regel vanaf 50 medewerkers óf € 10 miljoen omzet; voor sommige kritieke sectoren geldt geen drempel.
De kernverplichtingen
Vier verplichtingen vormen de kern van de Cyberbeveiligingswet.
Zorgplicht
Passende technische en organisatorische maatregelen om risico’s te beheersen, van risicobeoordeling tot toegangsbeveiliging en bedrijfscontinuïteit.
Meldplicht
Significante incidenten melden in getrapte termijnen: vroege waarschuwing binnen 24 uur, incidentmelding binnen 72 uur en eindrapport binnen 1 maand.
Registratieplicht
Entiteiten die onder de wet vallen, registreren zich bij de bevoegde autoriteit.
Bestuurdersverantwoordelijkheid
Het bestuur is verantwoordelijk voor naleving, houdt toezicht en kan persoonlijk aansprakelijk zijn.
Veelgestelde vragen
Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet?
NIS2 is de Europese richtlijn; de Cyberbeveiligingswet (Cbw) is de Nederlandse wet die NIS2 omzet in nationaal recht. De Cbw vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).
Wanneer treedt de Cyberbeveiligingswet in werking?
De EU-deadline was 17 oktober 2024, maar Nederland heeft die niet gehaald. Inwerkingtreding wordt verwacht in 2025. Houd er rekening mee dat de datum nog kan schuiven.
Wat zijn de meldtermijnen bij een incident?
Bij een significant incident: een vroege waarschuwing binnen 24 uur, een volledige incidentmelding binnen 72 uur en een eindrapport binnen één maand.
Wat riskeer ik bij niet-naleving?
NIS2 voorziet in stevige boetes (voor essentiële entiteiten tot € 10 miljoen of 2% van de wereldwijde jaaromzet) en bestuurdersaansprakelijkheid, naast verscherpt toezicht.
Hoe helpt Normio GOV hierbij?
Normio GOV bevat een zorgplicht-zelfevaluatie (Cbw/BIO2), een meldplicht-register dat de 24u/72u/1 maand-termijnen bewaakt, en automatische gaps en taken, zodat u aantoonbaar in control bent.