De Cyberbeveiligingswet: nieuw juridisch fundament voor digitale weerbaarheid

Die noodzaak wordt beantwoord met de herziene Network and Information Security Directive (EU 2022/2555; “NIS2-richtlijn”). De NIS2-richtlijn verplicht lidstaten tot het vaststellen van nationale wetgeving die een hoog niveau van cyberbeveiliging waarborgt voor entiteiten in essentiële en belangrijke sectoren. In Nederland wordt de NIS2-richtlijn geïmplementeerd in de Cyberbeveiligingswet. Het voorstel voor deze nieuwe wet is op 2 juni 2025 ingediend bij de Tweede Kamer.

De Cyberbeveiligingswet heeft tot doel de verplichtingen voor entiteiten in sectoren met maatschappelijk of economisch gewicht te versterken. Daarnaast verankert de wet bestuurlijke verantwoordelijkheid en regelt het toezicht, handhaving en de samenwerking met zogeheten Computer Security Incident Response Teams (“CSIRT’s”). Dit zijn gespecialiseerde teams die verantwoordelijk zijn voor het detecteren, analyseren, beperken en oplossen van beveiligingsincidenten. De Cyberbeveiligingswet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen.

De verwachting is dat de Cyberbeveiligingswet begin 2026 in werking treedt. De Rijksoverheid adviseert om niet af te wachten totdat de nieuwe wet in werking treedt. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Alvast in actie komen en voorbereiden op de Cyberbeveiligingswet? We zetten de belangrijkste verplichtingen hieronder uiteen.

Reikwijdte Cyberbeveiligingswet

De Cyberbeveiligingswet is van toepassing op essentiële en belangrijke entiteiten. Dit zijn entiteiten die actief zijn in sectoren met een bijzonder hoog maatschappelijk of economisch belang. Essentiële en/of belangrijke entiteiten zijn bijvoorbeeld:

• Energiebedrijven;
• Ziekenhuizen en zorginstellingen;
• Drinkwatervoorzieningen;
• Cloud- en datacenterdiensten;
• Digitale dienstverleners;
• Financiële instellingen; en
• Overheidsorganisaties.

Hoofdverplichtingen Cyberbeveiligingswet

De Cyberbeveiligingswet kent drie hoofdverplichtingen, die hun grondslag vinden in de NIS2-richtlijn:

Zorgplicht (artikel 21 Cyberbeveiligingswet; artikel 21 NIS2-richtlijn)

Essentiële en/of belangrijke entiteiten moeten passende maatregelen treffen om cyberrisico’s te beperken. De Cyberbeveiligingswet somt minimale maatregelen op en biedt ruimte voor sectorspecifieke invulling via algemene maatregelen van bestuur of ministeriële regelingen (artikel 21 lid 1-5).

Meldplicht (artikel 25 e.v. Cyberbeveiligingswet; artikel 23 NIS2-richtlijn)

Significante incidenten moeten worden gemeld bij een CSIRT en de bevoegde autoriteit (verschilt per sector en type entiteit). De melding vindt gefaseerd plaats: eerst wordt een waarschuwing ingediend, mogelijk volgt daarna een tussentijdse update, en uiteindelijk wordt een eindverslag gemaakt.

Bestuurlijke verantwoordelijkheid (artikel 24 Cyberbeveiligingswet; artikel 20 NIS2-richtlijn)

Bestuurders van essentiële en/of belangrijke entiteiten krijgen expliciete taken: zij moeten cybersecuritybeleid vaststellen, de uitvoering daarvan controleren en zich laten bijscholen op het gebied van cyberbeveiliging en risicobeheer.

De eerste hoofdverplichting, de zorgplicht, omvat tien minimale maatregelen die organisaties moeten treffen om hun netwerk- en informatiesystemen te beschermen. De maatregelen vormen de kern van de zorgplicht en zijn essentieel om de digitale weerbaarheid van organisaties op een structurele manier te borgen. Kort samengevat moeten de entiteiten:

1. Beleid voor de beheersing van digitale risico’s en de beveiliging van het informatiesysteem opstellen, onderhouden en periodiek evalueren.
2. Beveiligingsaspecten implementeren voor personeel, toegangsbeleid en beheer van activa.
3. Procedures opstellen voor bedrijfscontinuïteit, incidentenherstel, en crisismanagement.
4. Beleid en procedures implementeren voor de detectie, melding en afhandeling van cyberincidenten.
5. Basis cyberhygiëne en awareness-trainingen en opleidingen geven aan werknemers.
6. Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen.
7. Maatregelen met betrekking tot beveiliging van de toeleveringsketen en leveranciersrelaties opstellen en implementeren.
8. Beleid opstellen voor gebruik van cryptografie en encryptie (sleutelbeheer).
9. Beleid opstellen voor toegangsbeheer en toegangscontrole waarbij toegang tot systemen en data tot bevoegde personen beperkt wordt, bijvoorbeeld door gebruik van multifactor- authenticatie.
10. Beleid en procedures opstellen om de effectiviteit van de genomen maatregelen te beoordelen en regelmatig te toetsen.

Voorbereiden op de Cyberbeveiligingswet

Ter voorbereiding op de tien maatregelen is het voor organisaties raadzaam nu alvast:

• Na te gaan of zij onder de definitie van een essentiële of belangrijke entiteit vallen, en daarmee binnen de reikwijdte van de Cyberbeveiligingswet;
• Te beginnen met het opstellen of actualiseren van het cybersecuritybeleid;
• Zich aan te sluiten bij een CSIRT; en
• Intern voor te bereiden op meldprocedures en audits.

Hoewel de Cyberbeveiligingswet nog niet in werking is getreden, is het voor essentiële en belangrijke entiteiten wel al mogelijk zich te registreren bij een CSIRT. Voor digitale dienstverleners is er het CSIRT-DSP, voor zorginstellingen Z-CERT, en voor overige sectoren het Nationaal Cyber Security Centrum (NCSC).

Registratie bij een CSIRT biedt toegang tot:

• Een incidentrespons waar wordt geholpen om de impact van een cyberincident te beperken, de oorzaak te analyseren, verdere schade te voorkomen en getroffen systemen te herstellen;
• Vroegtijdige waarschuwingen over actuele dreigingsinformatie en cyberdreigingen, zoals nieuwe malwarevarianten, phishingcampagnes en kwetsbaarheden in software of systemen; en
• Technische analyse en ondersteuning bij verdachte of schadelijke cyberincidenten.

De Cyberbeveiligingswet brengt de nodige nieuwe verplichtingen met zich mee. De advocaten van Bureau Brandeis zullen u op de hoogte blijven houden over de ontwikkelingen.