Hoe bereidt u uw organisatie voor op de Cyberbeveiligingswet (NIS2)?
De Nederlandse vertaalslag van de Europese richtlijn NIS2 (Network and Information Security) komt eraan: de Cyberbeveiligingswet. Dat betekent dat bedrijven binnenkort aan strengere eisen moeten voldoen om hun digitale beveiliging op orde te hebben. Maar wat is nu precies het verschil tussen de NIS2 en Cyberbeveiligingswet? Wat houdt die wet in, voor wie geldt deze en hoe bereidt u uw organisatie voor?
Verschil tussen NIS2 en de Cyberbeveiligingswet
Eerst het verschil tussen de Cyberbeveiligingswet en de NIS2-richtlijn. De NIS2 (Network and Information Security Directive) is een Europese richtlijn die zich richt op het verhogen van de digitale weerbaarheid van essentiële sectoren als energie, transport en gezondheid. De nieuwe Cyberbeveiligingswet is de vertaling van deze richtlijn naar Nederlandse wetgeving. Deze wet geldt voor een bredere groep organisaties en legt specifieke verplichtingen op.
De samenhang met Wbni
De Cyberbeveiligingswet is de opvolger van de Wbni – de Wet beveiliging netwerk- en informatiesystemen. Organisaties die nu al aan de WBNI voldoen, hebben een stuk minder werk om aan de Cyberbeveiligingswet te voldoen.
Voor wie geldt de Cyberbeveiligingswet?
De Cyberbeveiligingswet geldt voor organisaties binnen aangewezen sectoren die worden aangemerkt als ’essentieel’ of ‘belangrijk’. Deze sectoren zijn bijvoorbeeld de zorg, transport, levensmiddelen, energieaanbieders, waterbeheerbedrijven, digitale aanbieders en overheidsdiensten. De nieuwe wet is namelijk niet alleen van toepassing op de traditionele IT-sector, maar juist ook op organisaties die belangrijke diensten leveren zoals banken, waterbedrijven, telecomproviders en ziekenhuizen. En de wet geldt ook voor leveranciers van digitale diensten, zoals cloudproviders, beheerders van ICT-diensten en infrastructuren voor financiële markten.
De vier hoofdlijnen van de Cyberbeveiligingswet
De Cyberbeveiligingswet is nog niet helemaal definitief. Wel is al zeker dat de wet straks draait om vier belangrijke pijlers:
1. Registratieplicht
Belangrijke en essentiële entiteiten moeten zich verplicht registreren bij het Nationaal Cyber Security Centrum (NCSC). De overheid houdt hiermee bij wie er allemaal onder de wet vallen en wie verantwoordelijk is voor het naleven van de regels.
2. Meldplicht
Bedrijven moeten ernstige cyberincidenten binnen 24 uur melden aan bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Denk hierbij aan datalekken of cyberaanvallen die een grote impact hebben op de continuïteit van de diensten. Hoe sneller een incident wordt gemeld, hoe sneller hulp kan worden geboden om de schade te beperken. Daarnaast worden hiervoor door de overheid harde eisen gesteld. De drempelwaardes voor verplichte meldingen zullen per sector variëren en worden nog uitgewerkt.
3. Zorgplicht
De zorgplicht houdt in dat uw organisatie om de digitale veiligheid op orde te hebben maatregelen moet nemen die passen bij uw risicoprofiel. Dit betekent niet alleen dat u technische maatregelen moet treffen, zoals firewalls en antivirussoftware, maar ook dat uw personeel goed getraind moet zijn om cyberdreigingen te herkennen en te voorkomen.
4. Toezicht
De overheid houdt toezicht op de naleving van de wet. Hiervoor worden per sector toezichthouders aangewezen, zoals de RDI – de Rijksinspectie Digitale Infrastructuur. Als uw organisatie niet voldoet aan de regels, kan dit leiden tot boetes of andere sancties. Zorg dus dat u de informatiebeveiliging op orde hebt en dat u kunt aantonen welke stappen uw organisatie heeft ondernomen.
Hoe bereidt u uw organisatie nu al voor op de Cyberbeveiligingswet?
De overheid verwacht dat de Cyberbeveiligingswet in het najaar van 2025 in werking zal treden. Het kan verleidelijk zijn om te wachten tot de Nederlandse vertaalslag van de NIS2 helemaal definitief is. Maar uw organisatie nu al voorbereiden heeft twee voordelen. Ten eerste voldoet u straks sneller aan de nieuwe wet. Maar het tweede voordeel is misschien nog wel het belangrijkst: kijkend naar actuele cyberdreigingen en de impact hiervan, ontkomt geen enkele organisatie eraan om grip te hebben op de risico’s en deze te reduceren.
Hierbij vormt een risicogebaseerde aanpak de basis:
- Breng de middelen voor uw organisatie in kaart
- Inventariseer de risico’s voor uw organisatie
- Analyseer welke risico’s gemitigeerd moeten worden
- Implementeer de relevante, risicogestuurde maatregelen
Hier kunt u vandaag al mee beginnen!
Start vandaag met voorbereiden op de NIS2
Kortom, door nu al maatregelen te nemen, borgt u de cyberbeveiliging van uw organisatie. Daarnaast voorkomt u straks problemen als de wet in werking treedt. Wacht dus niet af tot de Cyberveiligingswet van kracht is, maar maak nú al de basis op orde.
Contact
Bekijk de Cyberbeveiligingswet/ NIS2 gids
Meer weten over de NIS2?
Hoe zorgt u ervoor dat uw organisatie voldoet aan de NIS2? Wij testen, inspecteren, certificeren en trainen uw organisatie volgens de NIS2-normen.