Cyberbeveiligingswet: zorg dat je er klaar voor bent

• Wat is de Cyberbeveiligingswet?
• Wanneer gaat de Cyberbeveiligingswet in?
• Voor wie geldt de Cyberbeveiligingswet?
• Bereid je voor

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet (Cbw) is een nieuwe Nederlandse wet die bedrijven verplicht hun digitale systemen goed te beveiligen. Met een goede beveiliging staan ze sterker bij cyberdreigingen, zoals digitale aanvallen van cybercriminelen. Denk aan een DDoS-aanval. De Cbw is de Nederlandse uitwerking van de Europese NIS2-richtlijn. NIS2 staat voor Network and Information Security Directive 2. Deze Europese richtlijn ging op 17 oktober 2024 in als opvolger van de NIS-richtlijn.

Wanneer gaat de Cyberbeveiligingswet in?

De Cbw gaat waarschijnlijk in het tweede kwartaal van 2026 in. Als er meer over de datum bekend is, dan zetten we dat hier neer. De wet is al een paar keer uitgesteld, omdat de uitwerking van de NIS2 tot de Cbw langer duurt dan verwacht. Wacht niet totdat de Cbw geldt, maar bereid je nu alvast voor op de nieuwe regels.

Voor wie geldt de Cyberbeveiligingswet? 

De Cbw is bedoeld voor organisaties en bedrijven die belangrijk zijn voor ons land. Denk aan energiebedrijven, ziekenhuizen of banken. Dit soort bedrijven behoren tot wat we (zeer) kritieke sectoren noemen. Valt bijvoorbeeld een energiebedrijf uit door een cyberaanval, dan is dat meteen een groot probleem voor ons land. Meestal gaat het om middelgrote of grote bedrijven. Met minimaal 50 medewerkers en een jaaromzet van meer dan 10 miljoen euro. Maar de Cbw kan ook voor kleinere bedrijven gelden. Én, ook als de wet niet voor jou geldt, kun je te maken krijgen met de strengere eisen aan cybersecurity.

Kleine bedrijven

Een vakminister die over je bedrijfstak gaat, kan besluiten dat jouw kleine bedrijf wel onder de Cbw valt. Bijvoorbeeld omdat je een dienst levert die van groot belang is voor Nederland. Je krijgt hierover dan bericht van de overheid.

Sommige bedrijven vallen altijd onder de Cbw. Bijvoorbeeld als je een vertrouwensdienst, DNS-dienst of domeinregistratiedienst levert. Hierbij maakt het aantal medewerkers of je jaaromzet niet uit.

Strengere eisen

Geldt de Cbw niet voor jou als klein bedrijf? Ook dan kun je toch te maken krijgen met strengere eisen aan je cybersecurity. Hoe zit dat? Bedrijven die onder de Cbw vallen, moeten ook zorgen dat hun toeleveringsketen cyberveilig is. De toeleveringsketen bestaat uit alle bedrijven die producten of diensten aan zo’n Cbw-bedrijf leveren, ook wel toeleveranciers genoemd. Als een toeleverancier uitvalt door bijvoorbeeld een cyberaanval, dan heeft het Cbw-bedrijf daar mogelijk last van. Denk aan een softwarebedrijf dat een Elektronisch Patiënten Dossier (EPD) levert aan dertig ziekenhuizen. Als dit bedrijf tijdelijk omvalt, dan is dit meteen een probleem voor deze ziekenhuizen en mogelijk zelfs voor onze volksgezondheid.

Dus lever je aan een bedrijf dat onder de Cbw valt? Dan moet je bewijzen dat de cyberbeveiliging van je bedrijf op orde is.

Bereid je voor 

Wacht niet tot de Cbw er is, maar zorg dat je er klaar voor bent. Het kost tijd om je aan de regels van de Cbw te houden. Deze regels kunnen nog veranderen, totdat de Cbw echt geldt. Komt er nieuwe informatie, dan zetten we dat hier neer. Check wat je moet doen als je zelf onder de Cbw valt, of als je toeleverancier van een Cbw-bedrijf bent.

De Cbw geldt voor mijn bedrijf

Valt je bedrijf onder de Cbw, dan gaat onder meer het volgende voor jou spelen:

• Registratieplicht. Je moet je als Cbw-bedrijf aanmelden bij het Nationaal Cyber Security Centrum (NCSC).
• Zorgplicht. Je moet in kaart brengen welke risico’s je bedrijf loopt. Dit bepaalt welke maatregelen je moet nemen voor je digitale veiligheid. Denk aan het volgen van trainingen en het maken van back-ups. Ook de cyberveiligheid van je toeleveringsketen valt hieronder.
• Meldplicht. Gebeurt er iets ergs, zoals een cyberaanval, waardoor je Cbw-bedrijf stil komt te staan? Dan moet je dit binnen 24 uur melden bij het NCSC.
• Toezicht. Er zijn organisaties, toezichthouders genoemd, die controleren of je je als Cbw-bedrijf aan de regels houdt. Niet alle toezichthouders zijn al bekend, maar het gaat bijvoorbeeld om de Rijksinspectie Digitale Infrastructuur (RDI) voor ICT-bedrijven. Of de Inspectie Leefomgeving en Transport (ILT) voor transportbedrijven.

Ik lever aan een Cbw-bedrijf

Lever je een product of dienst aan een bedrijf of organisatie dat onder de Cbw valt? Dan gaat dat Cbw-bedrijf eisen en controleren dat je cyberbeveiliging op orde is. Het Cbw-bedrijf moet namelijk zorgen dat hun toeleveringsketen digitaal veilig is. De eisen kunnen verschillen per Cbw-bedrijf, dus ga met hen in gesprek. Je kunt bijvoorbeeld de volgende vragen over je cyberveiligheid verwachten:

• Volg je de officiële regels voor informatiebeveiliging zoals ISO 27001?
• Heb je op papier staan hoe je omgaat met risico’s van digitale dreigingen?
• Gebruik je standaard inloggen-in-twee-stappen (2FA) voor al je accounts?
• Krijgen al je systemen regelmatig beveiligingsupdates?
• Draait op al je systemen antivirussoftware?
• Hoe snel meld je een cyberaanval of beveiligingslek aan je klanten?
• Wie controleert je digitale beveiliging, en hoe vaak?
• Maak je regelmatig back-ups van belangrijke bedrijfsgegevens?
• Heb je een bedrijfscontinuïteitsplan (BCP)?
• Volgen je medewerkers cybersecuritytrainingen?
• Laat je wel eens een pentest uitvoeren om je cybersecurity te testen?
• Oefen je met het herkennen van phishing?

Alles weten over de Europese NIS2-richtlijn? Bij het Digital Trust Center (DTC) vind je het NIS2-startpunt.