BLOG: De Cyberbeveiligingswet komt een stap dichterbij

De ontwikkeling van een nieuwe Nederlandse wet voor cyberveiligheid, die voortkomt uit de Europese Network and Information Security Directive (NIS2-richtlijn), gaat een nieuwe fase in. Philippe Dauphine van L2P vertelt wat je nu over de Cyberbeveiligingswet moet weten.
In mei is de internetconsultatie over de Cyberbeveiligingswet van start gegaan. De mogelijkheid om reacties te geven op het wetsvoorstel is een stap op weg naar nieuwe Nederlandse wet- en regelgeving voor cyberveiligheid.

Van NIS2 naar Cyberbeveiligingswet

In 2022 heeft de Europese Unie de Network and Information Security Directive II (NIS2-richtlijn) vastgesteld. De NIS2 vervangt de eerste NIS-richtlijn, die Nederland in 2016 invoerde als de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Het doel van de nieuwe richtlijn is om de digitale weerbaarheid van de Europese lidstaten te harmoniseren en te versterken. De Europese landen zijn verplicht om de richtlijn te vertalen naar nationale wetgeving. De Nederlandse overheid heeft daarvoor het wetsvoorstel voor de Cyberbeveiligingswet opgesteld.

De NIS2-richtlijn focust zich specifiek op digitale risico’s en cyberveiligheid. De bedoeling van de Europese Unie is om de cybersecurity van bedrijven en organisaties in de lidstaten naar een hoger niveau te brengen. De samenleving digitaliseert immers in snel tempo verder en cyberdreigingen nemen steeds nieuwe vormen aan.

Een van de belangrijkste wijzigingen van de NIS2 is de uitbreiding van het aantal sectoren dat onder de wet valt. De richtlijn is gericht op alle instanties die belangrijke en vitale functies in de samenleving vervullen. Denk aan levensmiddelenproducenten, afvalverwerkers, ICT-dienstverleners, zorginstellingen, gemeenten, waterschappen en netbeheerders. Een groot aantal ondernemingen en organisaties in Nederland krijgt dan ook te maken met de verplichtingen van de Cyberbeveiligingswet.

Wat kan je verwachten van de Cyberbeveiligingswet?

De komst van de Cyberbeveiligingswet betekent:

· een zorgplicht, die organisaties verplicht om een risicobeoordeling uit te voeren en om passende maatregelen te
nemen om netwerken en informatiesystemen tegen incidenten te beschermen; 
· een meldplicht voor incidenten die essentiële dienstverlening aanzienlijk verstoren; 
· een registratieplicht, die inhoudt dat organisaties zich aanmelden als NIS2-entiteit. 

Verder schetst de wet de kaders voor het toezicht op de naleving van de wettelijke verplichtingen.

De overheid ondersteunt organisaties waarop de Cyberbeveiligingswet van toepassing is via sectorspecifieke Computer Security Incident Response Teams (CSIRTs). De CSIRTs adviseren over de beveiliging van de netwerk- en informatiesystemen, delen informatie over kwetsbaarheden en bedreigingen, en verlenen bijstand bij incidenten. Het Nationale Cyber Security Centrum (NCSC) neemt sector-overkoepelende taken op zich.

Hoe nu verder?

De NIS2-richtlijn geldt vanaf oktober 2024. De verwachting is dat de Nederlandse Cyberbeveiligingswet dan nog niet definitief is vastgesteld. Op 1 juli 2024 sluit de internetconsultatie van de Cyberbeveiligingswet. Een beknopt verslag van de resultaten verschijnt daarna op de website Internetconsultatie.nl. De Raad van State beoordeelt vervolgens het wetsvoorstel, en tot slot volgt de parlementaire behandeling in de Eerste en Tweede Kamer. Naar verwachting treedt de wetgeving dan in 2025 in werking.

Wat kan je al doen om straks klaar te zijn?

Het Digital Trust Center adviseert organisaties om zich voor te bereiden op de zorgplicht van de Cyberbeveiligingswet door maatregelen te nemen die de veiligheid en weerbaarheid van processen en diensten verbeteren. De rijksoverheid stelt daarvoor een zelfevaluatie ter beschikking, waarmee je kunt nagaan of de NIS2 op jouw organisatie van toepassing is. Daarnaast helpt een quickscan om te checken in welke mate de cyberbeveiliging van de organisatie al in lijn is met de NIS2.

Heb je verdere ondersteuning nodig om de maatregelen te bepalen en te implementeren om te voldoen aan de nieuwe Cyberbeveiligingswet? L2P ontwikkelt in samenspraak met jou een aanpak op maat. Zo zorg je ervoor dat je organisatie het vereiste volwassenheidsniveau behaalt. Dat is natuurlijk niet alleen belangrijk om de toekomstige wetgeving na te leven, maar vooral ook om de digitale veiligheid - en daarmee de license to operate - van je organisatie te borgen.