Nieuwe regels voor cybersecurity in Nederland

De nieuwe Cyberbeveiligingswet (Cbw), gebaseerd op de NIS2-richtlijn van de EU, introduceert strengere cybersecurityregels in Nederland. Hoewel de implementatie van de Cbw pas in 2025 wordt verwacht, is het belangrijk dat bedrijven in kritieke sectoren, zoals energie, transport en gezondheidszorg, nu al voorbereidingen treffen om te voldoen aan deze eisen.

Kennisbank

Nederland bereidt zich voor op de invoering van de nieuwe Cyberbeveiligingswet (Cbw), die de Europese NIS2-richtlijn implementeert. Deze wet, die in 2025 van kracht wordt, introduceert strengere cybersecurityregels voor bedrijven in maatschappelijk belangrijke sectoren. De Cbw heeft als doel om risico's te beperken en incidenten te voorkomen, en legt hierbij nadruk op verantwoordelijkheid, meldplicht en risicobeheersing.

Wie valt onder de Cbw?

De wet is van toepassing op bedrijven in zogenoemde "kritieke sectoren". Organisaties worden ingedeeld in twee categorieën:

  1. Essentiële entiteiten: Grote organisaties in sectoren zoals energie, transport en digitale infrastructuur.
  2. Belangrijke entiteiten: Middelgrote organisaties in sectoren zoals voedselproductie, afvalbeheer en gezondheidszorg.

Ook kleinere entiteiten met een hoog cybersecurityrisicoprofiel, zoals domeinnaamregistratiediensten en aanbieders van openbare communicatiediensten, vallen onder de reikwijdte.

Wat wordt van bedrijven verwacht?

Bedrijven moeten "passende en evenredige" technische, organisatorische en operationele maatregelen nemen. Voorbeelden hiervan zijn:

  • Het opstellen van incidentafhandelingsplannen.
  • Het beveiligen van netwerken, toeleveringsketens en fysieke infrastructuur.
  • Het trainen van medewerkers in cyberbeveiliging.

Het bestuur van een organisatie speelt hierin een belangrijke rol. Bestuurders zijn verantwoordelijk voor het goedkeuren van maatregelen, toezicht houden op de naleving en het bevorderen van cybersecuritybewustzijn binnen hun organisatie.

Meldplicht bij incidenten

Bij een significant cybersecurityincident, zoals datalekken of netwerkstoringen, geldt een meldplicht.

  • Binnen 24 uur: Een eerste melding (waarschuwing) indienen.
  • Binnen 72 uur: Een gedetailleerde melding doen.
  • Binnen 1 maand: Een eindrapport opstellen.

Deze meldplicht geldt bovenop andere verplichtingen, zoals die uit de Algemene Verordening Gegevensbescherming (AVG).

Strenge handhaving en hoge boetes

De toezichthoudende instanties hebben uitgebreide bevoegdheden, waaronder inspecties, bindende aanwijzingen en zelfs tijdelijke schorsing van vergunningen. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten.

Waarom nu starten?

Hoewel de Cbw pas in 2025 wordt ingevoerd, is de voorbereiding complex en tijdrovend. Organisaties moeten contracten, processen en leveranciersscreenings aanpassen. Vooral internationaal actieve bedrijven moeten rekening houden met de NIS2-implementaties in andere EU-landen, die al eerder van kracht zijn.

Aanbeveling voor bedrijven

  1. Begin direct met de implementatie van NIS2-maatregelen.
  2. Laat het bestuur en de medewerkers trainen in cybersecurityverantwoordelijkheden.
  3. Overweeg aanvullende verzekeringen, zoals een bestuurdersaansprakelijkheidsverzekering en een cybersecurityverzekering, om financiële risico's te beperken.

Door nu actie te ondernemen, kunnen bedrijven voldoen aan de aankomende wetgeving en zich beschermen tegen mogelijke incidenten en boetes.

Meer nieuws over datarisk­verzekering­en

17-10-2024

Risicoklassenindeling Digitale Veiligheid

Benieuwd naar de cyberrisico's voor jouw onderneming? Doorloop in enkele minuten deze gratis tool en ontvang meteen een handige inventarisatie van beveiligingsmaatregelen.

Lees verder
23-09-2024

Verbeteringen Hiscox CyberClear (2024)

Kort samengevat: het nieuwe pre-priced proposal van CyberClear by Hiscox heeft per direct ruimere acceptatierichtlijnen, een uitbreiding van de dekking en in veel gevallen een lagere premie.

Lees verder
29-02-2024

NIS2 quickscan

De Rijksoverheid heeft een NIS2-quickscan beschikbaar gesteld. Die scan bevat onder meer een checklijst van veertig vragen die organisaties moet helpen bij de voorbereiding op de nieuwe Europese cyberwet NIS2. De scan is met name bedoeld voor it- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties en bedrijven.

Lees verder
20-09-2023

MKB-keurmerk cyberveiligheid pas over paar jaar

Het CCV mag van demissionair minister Adriaansens het MKB-keurmerk cyberveiligheid ontwikkelen waar door de Tweede Kamer is gevraagd. Adriaansens voorziet een ontwikkelingstijd van twee jaar.<br /> <br /> Adriaansens: "Ik ben voornemens het CCV nog vóór het einde van dit jaar subsidie te verstrekken. De ontwikkeling van het

Lees verder
18-04-2023

Nieuwe cyber propositie Markel; Cyber 360

Als opvolger van de in september 2021 geïntroduceerde 'cybercrime verzekering' heeft Markel de 'Cyber 360 verzekering' gelanceerd. Een nieuwe naam voor een sterk verbeterd product. Zo is de dekking duidelijker omschreven en op een aantal punten<br /> aanzienlijk verruimd. Daarnaast is de doelgroep flink opgerekt. Graag

Lees verder