De Nederlandse overheid werkt aan de uitwerking van de Europese NIS2-richtlijn. De richtlijn houdt een aanscherping van de cyberwet in wat betekent dat meer bedrijven dan voorheen maatregelen moeten nemen tegen eventuele cyberrisico’s. De Nederlandse wet die extra cyberweerbaarheid zal vragen van bedrijven die belangrijk zijn voor onze samenleving en economie heet de de Cyberbeveiligingswet (Cbw). Het gaat vooralsnog om kritieke sectoren zoals de transport. Waar valt jouw bedrijf onder als de wet in werking treedt. Zoek het bijtijds uit en bereid je voor met tips van het NIS2-startpunt.
De Cyberbeveiligingswet beoogt de cyberveiligheid te versterken bij bedrijven die opereren in een kritieke sector waarbij we geen uitval kunnen lijden, zoals in de transportsector, betalingsverkeer, internet of zorg. Naast dat er veel meer bedrijven extra cybersecuritymaatregelen moeten nemen, komt er ook een verplichting om cyberincidenten te melden. De Cbw is in eerste instantie van toepassing op (middel)grote bedrijven en organisaties die opereren in (zeer) kritieke sectoren.
Grootte of omvang
Op een bedrijf dat in één van de bovenstaande sectoren opereert, is de nieuwe wetgeving doorgaans alleen van toepassing als het bedrijf ‘groot’ of ‘middelgroot’ is. De bedrijfsgrootte wordt gedefinieerd door aantal medewerkers, jaaromzet en balanstotaal.
Voor sommige bedrijfstakken gelden deze omvangcriteria niet. Aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinregistratiediensten en overheidsorganisaties vallen áltijd onder de Cbw, ongeacht de omvang.
Op micro- en kleine bedrijven is de wet alleen van toepassing wanneer een vakminister hen hiertoe aanwijst op basis van een risicobeoordeling. Dit kan zich voordoen als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Ook (toe)leveranciers moeten aan de slag
Bedrijven die zelf niet aan bovenstaande criteria voldoen, kunnen toch nog – indirect – gevolgen ondervinden van deze nieuwe cyberwetgeving. De wet bepaalt namelijk dat Cbw-bedrijven ervoor moeten zorgen dat hun keten van toeleveranciers veilig is. Als uit een keteninventarisatie blijkt dat een toeleverancier impact heeft op het netwerk- en informatiesysteem van een Cbw-bedrijf, kan het Cbw-bedrijf extra beveiligingsmaatregelen eisen. Proportionaliteit is bij deze onderlinge ketenafspraken belangrijk.
Begin bij het NIS2-startpunt
Bedrijven die onder de Cbw vallen, zullen diverse cybersecuritymaatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen. Het nemen van deze maatregelen heeft enkele maanden doorlooptijd. Daarom adviseert het Digital Trust Center (DTC) om daar nu alvast mee te beginnen.
Om alle ondernemers te helpen zich zo goed mogelijk voor te bereiden op de komst van deze wetgeving, heeft het DTC alle informatie die nu voor handen is gebundeld op het NIS2-startpunt. Hier vind je achtergrondinformatie over de aankomende wet, tools en checklists waar je als ondernemer mee aan de slag moet. Ook vind je handvatten voor de 10 zorgplichtmaatregelen die in de Europese richtlijn opgenomen zijn. Totdat de uitwerking van de zorgplichtmaatregelen voor Nederland in een algemene maatregel van bestuur is uitgewerkt, geeft de Europese NIS2-richtlijn voldoende handvatten voor voorbereidende acties voor Cbw-compliancy.
Vragen?
Heb je vragen over de Cbw? Sluit je dan aan bij de DTC Community en abonneer je op de NIS2-themaruimte. Daar delen IT-professionals, cybersecurity-experts en ondernemers kennis en informatie over alles wat met Cbw te maken heeft. Mogelijk is jouw vraag ook beantwoord in deze 15 vragen en antwoorden over de NIS2.
