De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van de Europese NIS2-richtlijn (Richtlijn (EU) 2022/2555). De wet verhoogt het niveau van digitale weerbaarheid van organisaties die belangrijk zijn voor de samenleving. De Cbw is ten tijde van schrijven nog in behandeling; de hoofdlijnen liggen vast in NIS2 en het wetsvoorstel.
Let op: status
De Cbw is nog niet in werking getreden. De verplichtingen hieronder zijn gebaseerd op NIS2 en het Nederlandse wetsvoorstel. Voorbereiden loont: de maatregelen vergen tijd en de richting staat vast.
Voor wie geldt de Cbw?
De wet richt zich op essentiële en belangrijke entiteiten in vitale en belangrijke sectoren. Twee groepen springen eruit:
- Overheden
- Rijk, provincies, gemeenten en waterschappen vallen rechtstreeks onder de Cbw. De BIO2 geldt als praktische invulling van de zorgplicht.
- Private entiteiten
- Organisaties in sectoren als energie, drinkwater, zorg, digitale infrastructuur en industrie, doorgaans vanaf een bepaalde omvang (50+ medewerkers of meer dan 10 miljoen euro omzet/balans).
De drie kernverplichtingen
- Zorgplicht
- Passende technische en organisatorische maatregelen nemen om risico’s te beheersen, op basis van een risicobeoordeling.
- Meldplicht
- Significante incidenten gefaseerd melden bij het CSIRT en de toezichthouder: binnen 24 uur, 72 uur en uiteindelijk binnen een maand.
- Registratieplicht
- Zich registreren bij de toezichthouder met actuele contact- en entiteitsgegevens.
Daarbovenop legt NIS2 de verantwoordelijkheid nadrukkelijk bij het bestuur: het moet de maatregelen goedkeuren, erop toezien en zelf opleiding volgen. Bestuurders kunnen bij nalatigheid persoonlijk worden aangesproken.
Voor gemeenten
De Cbw-zorgplicht sluit aan op de BIO en op de jaarlijkse ENSIA-verantwoording. Wie de BIO op orde heeft en aantoonbaar maakt, legt meteen het fundament voor de Cbw.