27 mei 2024

NIS2 wordt Cyberbeveiligingswet in Nederland

In dit artikel sommen we de belangrijkste punten van de Nederlandse implementatie van de NIS2 richtlijnen op.

Belangrijkste punten implementatie van de NIS2 richtlijn

Afgelopen dinsdag 21 mei is de internetconsultatie van de Cyberbeveiligingswet (Cbw) gestart, de Nederlandse implementatie van de NIS2 richtlijn. Via internetconsultatie.nl kan iedereen de concept wettekst bekijken en feedback op deze tekst leveren. We zullen hieronder kort enkele belangrijke punten uit de wet benoemen.

De wet kent vier hoofdonderdelen: Zorgplicht, Registratieplicht, Meldplicht en Toezicht. Daarnaast wordt in de wet beschreven welke instanties hiermee actief zijn, en hoe de informatie-uitwisseling (ook met de rest van Europa) mag verlopen.

Zorgplicht

In artikel 23 van de Cbw staat beschreven dat iedere organisatie die onder deze wet valt passende en evenredige maatregelen moet nemen om zichzelf te beschermen. Wat opvalt is dat hierover verder niet in detail getreden wordt, de wet schrijft op geen enkele manier voor hoe je dat zou moeten doen. In de NIS2 richtlijn werd nog wel verwezen naar risico’s via ketenpartners bijvoorbeeld, maar in de Cbw valt dit volledig onder de noemer ‘passende en evenredige maatregelen’. Het is goed te zien dat in deze wet een risico gedreven benadering wordt toegepast en dat niet blindelings maatregelen worden opgelegd aan bedrijven en organisaties. In artikel 26 over “Governance” wordt de verantwoordelijkheid voor het risicomanagement ook expliciet bij het hele bestuur van de organisatie belegd.

Registratieplicht

Artikel 48 van de Cbw verplicht organisaties die onder de wet vallen om uiterlijk 17 januari 2025 zichzelf te registreren. De registratie zal via het een internetportaal van het NCSC gaan verlopen, en zou niet te veel tijd moeten kosten. In geval dat de wet dan nog niet in werking getreden is (en dat is een reëel scenario), dan gaat deze verplichting uiterlijk één maand na inwerkingtreding van de wet in.

Meldplicht

Zoals verwacht stelt de wet ook dat je incidenten moet melden bij het CSIRT waar jouw organisatie onder valt. In artikel 27 t/m 31 staat beschreven wat er onder de meldplicht valt, variërend van een eerste melding binnen 24 uur tot het eindverslag binnen 30 dagen. Deze verplichtingen stonden ook al in de NIS2 richtlijn benoemd en zijn 1-op-1 overgenomen. In artikel 32 wordt ook specifiek de verplichting benoemd om je afnemers te informeren in geval van een incident.

Controle en Toezicht

De controlefunctie zoals beschreven in artikel 68 van de Cbw richt zich met name op de artikelen 23 en 27 tot en met 32. Dit zijn de artikelen die hierboven benoemd zijn en daar kan dus ook op gehandhaafd worden wanneer je onder deze wet valt. Ook de mogelijke sancties staan in de wet beschreven.

Meer weten?

Wil je weten wat dit voor jouw organisatie betekent en hoe je ervoor kunt zorgen dat je aan deze wet voldoet? Neem dan gerust eens contact op.

 


Advies nodig bij het vinden van de beste oplossing voor uw bedrijf?
Wij helpen u graag verder!