De nieuwe Cyberbeveiligingswet, ben jij er klaar voor?

Van richtlijn naar wet

De nieuwe Cyberbeveiligingswet komt uit de Europese NIS2-richtlijn. Die regels zijn bedoeld om de digitale veiligheid en weerbaarheid van belangrijke diensten in EU-landen te verbeteren. Dat is nodig, omdat we steeds meer afhankelijk zijn van digitale systemen en omdat cyberdreigingen toenemen.

De NIS2-richtlijn geldt sinds 16 januari 2023 in de hele EU, maar werkt niet direct voor losse organisaties. Elk land moet de regels eerst vertalen naar eigen nationale wetgeving voordat organisaties ermee te maken krijgen.

Vergelijk het met verkeersregels: de EU bepaalt dat er snelheidslimieten moeten komen, maar elk land mag zelf invullen hoe hard je precies mag rijden en wat de boete is. Zo werkt het met de NIS2-richtlijn ook: de EU geeft de richting aan, Nederland vult het in via de Cyberbeveiligingswet.
 

Waar moet je aan voldoen?

Een aantal zaken bepalen of een organisatie moet voldoen. In eerste instantie wordt er gekeken naar de sector van de organisatie, bijvoorbeeld: energie, vervoer, levensmiddelen, onderzoek, vervaardiging. Daarna wordt het aantal medewerkers, de jaaromzet en de balanstotaal meegenomen in de controle. Denk bijvoorbeeld aan een middelgroot transportbedrijf met 60 medewerkers en een jaaromzet van 12 miljoen euro. Door de combinatie van sector en omvang valt dit bedrijf straks onder de wet.

De grootte van een organisatie maakt niet altijd uit. Sommige sectoren vallen namelijk altijd onder de Cyberbeveiligingswet. Dat geldt bijvoorbeeld voor aanbieders van openbare communicatienetwerken, aanbieders van digitale vertrouwensdiensten en overheidsorganisaties.

Goed om te weten, onder de nieuwe wet vallen een aantal plichten en dat zijn de volgende:

• Registratieplicht; Organisaties die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid. 
• Meldplicht; Organisaties moeten incidenten zo snel mogelijk, maar in ieder geval binnen 24 uur melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Informatie die uit een melding voortkomt, zoals details over het incident, kan andere organisaties helpen om zich beter te wapenen. Ook hebben organisaties recht op bijstand van het sectorale CSIRT na het maken van een verplichte melding.
• Zorgplicht; Organisaties zijn verplicht een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen. De wet schrijft tien maatregelen voor waaraan je moet voldoen.

In de praktijk betekent dit onder andere dat je als organisatie moet kunnen aantonen dat de beveiliging van je systemen op orde is. Meer over basisbeveiliging lees je ook in deze blog.

Werk je met een externe partij voor je website of applicatie? Dan is het belangrijk dat zij kunnen laten zien hoe zij aan deze maatregelen voldoen, bijvoorbeeld via een beleidsdocument.

Niet zeker of jouw organisatie moet voldoen aan deze nieuwe Cyberbeveiligingswet? 
Neem dan contact op, wij adviseren je graag.