Zowel binnen Nederland als de Europese Unie wordt hard gewerkt aan de cyberveiligheid. Het beschermen van digitale infrastructuur en de digitale economie tegen schade van zowel cybercriminelen als kwaadwillende statelijke actoren is belangrijker dan ooit. Op dinsdag 7 juli stemde de Eerste Kamer in met nieuwe wetgeving die de cyberveiligheid moet ondersteunen.
Het gaat om de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wetten geven uitvoering aan twee Europese richtlijnen: De NIS2-richtlijn, die bepaald welke verantwoordelijkheden bedrijven hebben omtrent de cyberveiligheid van hun bedrijf, en de CER-richtlijn, die de zorgplicht vastlegt voor de veiligheid van vitale infrastructuur op het gebied van fysieke dreigingen. De twee wetten en richtlijnen samen vormen een volledig pakket maatregelen bedoeld om de schade van eventuele aanvallen op (digitale) infrastructuur te minimaliseren.
De wetgeving, die in werking treedt op 15 augustus 2026, leggen nieuwe verplichtingen op aan ruim 8.000 organisaties. Organisaties die onder de wetgeving vallen krijgen een aantal nieuwe verplichtingen. Het gaat hier bij om:
- Registratieplicht: Organisaties moeten zich registreren in het entiteitenregister via het Nationaal Cyber Security Centrum (NCSC).
- Zorgplicht: Organisaties moeten maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen daarvan te beperken.
- Meldplicht: Organisaties moeten significante incidenten binnen de wettelijke termijnen melden aan hun CSIRT en bevoegde autoriteit via het meldportaal.
- Bestuurlijke verantwoordelijkheid: Het bestuur is eindverantwoordelijk voor cyberrisicobeheersing. Bestuurders moeten beschikken over voldoende kennis om risico’s en beveiligingsmaatregelen te kunnen beoordelen en volgen daarvoor een passende training.
- Toezicht en handhaving: Toezichthouders controleren of organisaties voldoen aan de verplichtingen uit de Cyberbeveiligingswet.
Binnen de nieuwe wetgeving krijgt het NCSC een centrale rol. Organisaties moeten zich registreren. Ter voorbereiding hierop heeft het NCSC een checklist ontwikkeld. Deze helpt met bepalen in welke mate de nieuwe wetgeving van toepassing is op uw organisatie. Eenmaal aangemeld bij het NCSC kunnen organisaties zich aansluiten bij dienstverlening van hun CSIRT.
CSIRT staat voor Computer Security Incident Response Team. Een CSIRT is verantwoordelijk voor het ondersteunen van organisaties in het voldoen aan de in de Cbw vastgelegde verantwoordelijkheden op het gebied van de cyberveiligheid, het verwerken van meldingen en het coördineren van een respons in het geval van een incident. Het NCSC zal in Nederland het overkoepelend CSIRT vormen voor de Rijksoverheid en de vitale infrastructuur.
De Wwke is van toepassing op naar schatting ongeveer 500 organisaties, onder andere in de sectoren energie, vervoer, bankwezen, financiële infrastructuur, drinkwater, gezondheidszorg en de energievoorziening. Een organisatie valt onder de Cwe als deze door de vakminister wordt aangewezen als een zogeheten kritieke entiteit. Ook voor Cbw-registratie heeft het NCSC een checklist aangeboden die moet helpen met voorbereiden op een eventuele registratie.