1. Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de Europese NIS2-richtlijn. Het doel: de digitale weerbaarheid van vitale en belangrijke sectoren vergroten. De Cbw verplicht organisaties om hun cybersecurity op orde te brengen én te houden. Waar de oorspronkelijke NIS-richtlijn gold voor een beperkte groep (zoals energie- en telecombedrijven), breidt de Cbw dit uit naar veel meer sectoren en organisaties.
2. Wanneer gaat de wet in?
De verwachting is dat de Cbw medio 2025 in werking treedt. De consultatie is inmiddels afgerond (dit was de periode waarin burgers en bedrijven hun input konden geven). Nu wordt de definitieve wettekst verder uitgewerkt. Hoewel de Cbw dus nog niet van kracht is, is wachten geen optie. Om aan de wet te voldoen, moet je structurele maatregelen nemen op het gebied van processen, techniek en governance. En dat kost tijd.
3. Geldt de Cbw ook voor mijn organisatie?
Die kans is best groot. De Cbw geldt voor essentiële entiteiten zoals energie- en waterbedrijven, transportbedrijven, telecomproviders en de gezondheidszorg. Maar ook voor belangrijke entiteiten zoals voedselproducenten, afvalverwerkers, post- en koeriersdiensten, chemische bedrijven en IT-dienstverleners. Ook toeleveranciers aan deze sectoren kunnen onder de wet vallen. Een handig hulpmiddel om dit te checken is deze
4. Wat zijn de belangrijkste verplichtingen?
De Cbw introduceert drie centrale verplichtingen:
- Registratieplicht: Je moet je als organisatie registreren in het entiteitenregister van het NCSC. Zo ontstaat een actueel overzicht van alle organisaties die onder de wet vallen.
- Zorgplicht: Je bent verplicht om passende maatregelen te nemen om de cyberweerbaarheid van je organisatie te waarborgen en risico’s op cyberincidenten te beperken
- Meldplicht: Een serieus incident met impact op de continuïteit van je dienstverlening moet je zo snel mogelijk melden bij het NCSC – en in ieder geval binnen 24 uur.
5. Wat houdt de zorgplicht precies in?
De zorgplicht is het fundament van de Cyberbeveiligingswet. Je moet aantoonbaar beleid voeren op het gebied van cybersecurity, afgestemd op je bedrijfsvoering en risicoprofiel. Dit omvat zowel organisatorische als technische maatregelen. Dat betekent dat je niet alleen je IT-systemen moet beveiligen, maar ook aandacht moet besteden aan interne processen, bewustwording onder medewerkers en de fysieke beveiliging van je infrastructuur. Daarbij is het ook belangrijk om naar je leveranciers te kijken, want een zwakke schakel in de keten kan ook jouw organisatie kwetsbaar maken. De focus ligt op continu verbeteren: niet één keer iets implementeren en klaar, maar een structureel proces inrichten dat je organisatie blijvend weerbaarder maakt.
6. Hoe werkt de meldplicht?
Als jouw organisatie wordt getroffen door een ernstig cyberincident, ben je verplicht dit te melden bij de bevoegde autoriteit of sectorale CSIRT. De meldplicht bestaat uit twee fasen:
- Binnen 24 uur: bij een incident met significante impact op je dienstverlening of veiligheid moet je een eerste melding doen. Dit is een snelle inventarisatie: wat is er gebeurd, wat is de impact en welke acties heb je al ondernomen?
- Binnen 72 uur: daarna moet je een rapportage aanleveren met details over de oorzaak, de omvang van de schade en de getroffen systemen. Ook geef je aan welke maatregelen je hebt genomen om de schade te beperken en herhaling te voorkomen.
Het doel van deze meldplicht is niet om organisaties te straffen, maar om samenwerking te stimuleren. Door incidenten snel en transparant te melden, kunnen andere organisaties op tijd worden gewaarschuwd en preventief handelen. Zo versterken we samen de weerbaarheid van de hele keten.
7. Wat betekent de Cbw voor mijn toeleveringsketen?
De Cbw stopt niet bij je voordeur. Het is belangrijk om risico’s in je gehele keten te beheersen, bijvoorbeeld door duidelijke eisen te stellen aan je leveranciers en afspraken over security vast te leggen in contracten. Dit kan in sommige gevallen zelfs leiden tot gezamenlijke audits of gedeelde monitoring. Vooral mkb'ers die leveren aan grotere organisaties zullen dit merken, aangezien grote klanten steeds vaker willen weten hoe het zit met jouw beveiliging. Dit doen ze niet alleen om risico’s te beperken, maar ook om samen te werken aan een weerbare keten.
8. Wat als ik niet voldoe aan de Cyberbeveiligingswet?
Het niet naleven van de regels kan flinke gevolgen hebben, zoals hoge boetes, reputatieschade en verlies van opdrachten of aanbestedingen. Bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld. Maar goede beveiliging is meer dan een wettelijke verplichting. Het is simpelweg nodig om je bedrijf te beschermen tegen risico’s zoals ransomware of datalekken, die langdurige schade kunnen veroorzaken.
9. Wat kan ik nu al doen?
Het is belangrijk om nu al te bepalen of jouw organisatie onder de Cbw valt. Begin daarna stap voor stap: breng risico’s in kaart, werk aan bewustwording, bekijk je incidentresponseplan en check of basismaatregelen zoals MFA, monitoring en back-ups op orde zijn. Ook je afspraken met leveranciers verdienen aandacht. Door op tijd te beginnen, ben je straks helemaal klaar voor de Cbw.
Justin Post, director security bij KPN, ziet de Cyberbeveiligingswet als een mooie kans om je digitale weerbaarheid te vergroten. Benieuwd hoe je dit slim aanpakt? Luister dan naar onze speciale aflevering van de NLSecure[ID]-podcast.