Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet is de opvolger van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het doel van de wet is om een hoger niveau van cyberbeveiliging te waarborgen voor netwerken en informatiesystemen, die essentieel zijn voor de economie en de samenleving. Ten opzichte van de Wbni is het aantal sectoren dat onder de wet valt uitgebreid en is de ketenverantwoordelijkheid toegevoegd, waardoor de wet ook geldt voor toeleveranciers van ondernemingen die aan de wet moeten voldoen. Daarnaast zijn er in het wetsvoorstel meer verplichtingen toegevoegd omtrent zorgplicht, meldplicht en toezicht op naleving.
Implementatie in Nederland
De implementatie van de Cyberbeveiligingswet in Nederland is later dan initieel gepland. Vanuit Europa wordt de NIS2-richtlijn in oktober 2024 verplicht. Echter, het is al zeker dat Nederland meer tijd nodig heeft om de wet te implementeren. Na verwerking van de reacties uit de consultatie, zal de Raad van State het wetsvoorstel beoordelen. Vervolgens zal het voorstel worden aangeboden aan de Tweede Kamer. Naar verwachting zal deze laatste stap pas in het najaar plaatsvinden. Wanneer de wet daadwerkelijk geïmplementeerd zal zijn, is nog onduidelijk.
Wie valt onder de Cyberbeveiligingswet?
De Cyberbeveiligingswet is van toepassing op negentien gedefinieerde sectoren, waaronder energie, transport, beheerders van ICT-diensten, gezondheidszorg en infrastructuur van financiële markten. Ook ketenpartners en klanten kunnen onder de wet vallen. Organisaties moeten zelf beoordelen of zij moeten voldoen aan de Cyberbeveiligingswet.
Belangrijkste verplichtingen
Organisaties die vallen onder de Cyberbeveiligingswet moeten aan de volgende verplichtingen voldoen:
- Registratieplicht: Organisaties zijn verplicht zich te registreren in het nationale entiteitenregister. Het Ministerie van Justitie en Veiligheid publiceerde hiervoor dit infosheet.
- Zorgplicht: Organisaties zijn verplicht om zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen.
- Meldplicht: Organisaties moeten significante incidenten binnen 24 uur melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Onder significante incidenten vallen incidenten die de dienstverlening aanzienlijk (kunnen) verstoren.
- Toezicht: Organisaties zijn onderworpen aan toezicht waarbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet.
Wat kunnen organisaties nu al doen?
Ondanks de vertraging, is het raadzaam om tijdig te starten met het digitaal weerbaar maken van uw organisatie. Op deze manier zorgt u ervoor dat u op tijd voldoet aan de Cyberbeveiligingswet. Het is aanbevolen om de volgende stappen te nemen:
- Maak een risicoanalyse: Met een risicoanalyse bekijkt u de te beschermen belangen, dreigingen en de huidige weerbaarheid van uw organisatie. Dit kunt u als basis hanteren om weloverwogen keuzes te maken over hoe om te gaan met de gevonden risico’s.
- Risicomanagementproces implementeren: Bepaal welke maatregelen passend zijn om uw risico’s te beheren.
- Incidentmanagement implementeren: Ontwikkel procedures voor het detecteren, monitoren, oplossen en melden van incidenten. Op deze manier kan u snel en adequaat reageren wanneer uw organisatie wordt getroffen door een incident.
Meer informatie
Wilt u weten hoe Van Oers u kan assisteren bij het voorbereiden op en het voldoen aan de Cyberbeveiligingswet? Neem dan contact op met één van onze specialisten via onderstaande button of per mail: IT-Advies@vanoers.nl
