Routekaart Cyberbeveiligingswet: Nog geen plichten, wel rechten 

Nationaal Cybersecurity Centrum

Een aantal bepalingen uit de NIS2-richtlijn hebben een directe werking en vereisen geen verdere vertaling naar de Cyberbeveiligingswet. Deze bepalingen omvatten een aantal taken en activiteiten die uitgevoerd moeten worden door het Nationaal Cybersecurity Centrum (NCSC). Het NCSC vervult in Nederland de rol van Computer Security Incident Response Team (CSIRT) en is onder de NIS2-richtlijn verplicht om een aantal taken uit te voeren. Niet alle NIS2-organisaties kunnen direct aanspraak maken op deze taken ofwel diensten. Het NCSC verleent namelijk haar diensten op verzoek en is afhankelijk van het risico en de impact voor de digitale weerbaarheid.  

Welke rechten hebben NIS2-organisaties?

Ten eerste kan het NCSC op verzoek van NIS2-organisaties netwerk- en informatiesystemen van organisaties monitoren om kwetsbaarheden te signaleren of advies geven over hoe organisaties hun monitoring moeten inrichten. Daarnaast kan het NCSC een organisatie hulpverlenen wanneer zich een incident heeft voorgedaan. De mate van bijstand is hier afhankelijk van de impact van het incident. Het is overigens sinds 17 oktober 2024 mogelijk voor NIS2-organisaties om incidenten te melden, dit kan via NCSC. Het melden van incidenten is nog niet verplicht, maar organisaties worden nadrukkelijk gevraagd om dit al wel te doen. NSCS zal beveiligingsadviezen delen met organisaties die zich al geregistreerd hebben als NIS2-entiteit.  

Wanneer registreren als NIS2-organisatie?

In ons artikel over de consultatie van de Cyberbeveiligingswet hebben we al kort stil gestaan bij de registratieplicht. Organisaties moeten zelf beoordelen of zij onder de NIS2 vallen, of kunnen worden aangewezen worden door een ministerie. Wanneer uw organisatie onder deze wet valt, moet u in zich registreren bij het NCSC. Het is nog niet altijd even duidelijk welke organisaties aan de verplichtingen uit de Cyberbeveiligingswet moeten voldoen. De wet maakt tevens onderscheid tussen essentiële en belangrijke entiteiten waar andere verplichtingen voor gelden. Om het voor organisaties makkelijker te maken om te bepalen of zij onder de NIS2 vallen, en in welke vorm, hebben we onderstaande flowchart beschikbaar gesteld. 

Meldplicht

Zoals u hierboven heeft kunnen lezen, raadt het NCSC NIS2-organisaties nadrukkelijk aan om vanaf 17 oktober 2024 incidenten te melden. Wanneer de Cyberbeveiligingswet daadwerkelijk in werking treedt, is het verplicht om incidenten te melden. Daarom is het goed om alvast stil te staan bij het type incident dat u moet melden en binnen welke termijn. De Cyberbeveiligingswet verplicht organisaties om significante incidenten te melden, maar wat zijn significante incidenten? Hieronder vallen incidenten die de dienstverlening van de betreffende organisatie aanzienlijk (kunnen) verstoren. Wanneer een incident zich voordoet, is het dus van belang dat u een goede afweging maakt van de impact van dit incident op de dienstverlening van uw organisatie. Als het gaat om een significant incident, moet u aan een aantal verplichtingen binnen een kort tijdsbestek voldoen. Om welke verplichtingen en periodes het gaat, hebben wij voor u inzichtelijk gemaakt in dit flowchart.  

Meer informatie

Wilt u weten hoe Van Oers u kan helpen te voldoen aan de Cyberbeveiligingswet? Of wilt u advies over de mogelijke rechten die uw organisatie op dit moment al heeft? Neem dan contact op met één van onze specialisten via onderstaande button of per mail: IT-Advies@vanoers.nl