De Cyberbeveiligingswet brengt nieuwe verplichtingen met zich mee voor ruim 8.000 organisaties, terwijl ongeveer 500 organisaties onder de Wet weerbaarheid kritieke entiteiten formeel worden aangewezen als kritieke entiteit.
De Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet geldt voor organisaties die essentiële of belangrijke diensten verlenen in achttien sectoren, waaronder energie, drinkwater, digitale infrastructuur, gezondheidszorg, overheid en vervoer.
Nieuwe verplichtingen
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder meer een registratieplicht, een zorgplicht en een meldplicht. Zij moeten zich registreren in het entiteitenregister van het Nationaal Cyber Security Centrum (NCSC), passende beveiligingsmaatregelen treffen om risico’s voor hun netwerk- en informatiesystemen te beheersen en significante cyberincidenten binnen de wettelijke termijnen melden aan hun CSIRT en de bevoegde autoriteit.
Daarnaast legt de wet nadrukkelijk verantwoordelijkheid bij het bestuur. Bestuurders worden eindverantwoordelijk voor het cyberrisicobeheer en moeten over voldoende kennis beschikken om risico’s en beveiligingsmaatregelen te beoordelen. Ook komen organisaties onder toezicht te staan van bevoegde toezichthouders, die kunnen handhaven als niet aan de wettelijke verplichtingen wordt voldaan.
Het kabinet roept organisaties op niet te wachten tot de inwerkingtreding. Registratie bij het NCSC wordt vanaf 15 augustus verplicht, maar kan nu al worden voorbereid. Na registratie kunnen organisaties gebruikmaken van de dienstverlening van hun CSIRT, waaronder ondersteuning bij incidenten en producten om de digitale weerbaarheid te versterken.
Kritieke entiteiten
De Wet weerbaarheid kritieke entiteiten implementeert de Europese CER-richtlijn en richt zich op de bescherming van vitale infrastructuur en essentiële economische activiteiten tegen uiteenlopende dreigingen, zoals cyberaanvallen, sabotage, terroristische misdrijven en natuurrampen.
De wet geldt voor ongeveer 500 organisaties in onder meer de sectoren energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart, nucleaire voorzieningen, waterkeringen, meteorologie en de productie, verwerking en distributie van levensmiddelen. Organisaties vallen pas onder deze wet nadat zij door de verantwoordelijke vakminister formeel zijn aangewezen als kritieke entiteit.
Minister van Justitie en Veiligheid David van Weel noemt de nieuwe wetgeving een belangrijke stap om organisaties beter voor te bereiden op digitale en fysieke dreigingen. Volgens hem moeten organisaties voorbereid zijn op risico’s die de continuïteit van essentiële dienstverlening kunnen verstoren en is het belangrijk dat zij tijdig aan de nieuwe wettelijke verplichtingen voldoen.
Meer informatie vind je hier.


Geef een reactie