De nadruk in deze blog ligt op de uitwerking van de zogenoemde zorgplicht die geldt voor entiteiten die onder de Cyberbeveiligingswet vallen. Vragen die hierin aan bod zullen komen, zijn: wat houdt de zorgplicht in binnen de Cyberbeveiligingswet? Hoe wordt deze plicht verder uitgewerkt in het Cyberbeveiligingsbesluit? Welke plichten komen nog meer aan bod binnen het Cyberbeveiligingsbesluit? En wat moet u als ondernemer concreet doen om te voldoen aan de plichten?
De Cyberbeveiligingswet in vogelvlucht
De Cyberbeveiligingswet beoogt de digitale weerbaarheid van essentiële en belangrijke entiteiten in Nederland te versterken. De wet kent vier hoofdverplichtingen die organisaties moeten naleven, te weten een zorgplicht, een meldplicht, een registratieplicht en een opleidingsplicht voor bestuurders. Daarnaast staan organisaties onder toezicht en handhaving van toezichthouders. Maar van al deze verplichtingen is de zorgplicht de meest fundamentele, omdat deze de basis legt voor de overige verplichtingen en het uitgangspunt vormt voor de mate van bescherming die organisaties moeten bieden.
Volgens artikel 23 van de Cyberbeveiligingswet moet elke essentiële en belangrijke entiteit passende en evenredige technische, operationele en organisatorische maatregelen treffen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Deze maatregelen moeten gericht zijn op het voorkomen van zogenoemde significante incidenten. Dit zijn incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteiten veroorzaken of kunnen veroorzaken. Onder een significant incident wordt ook verstaan een incident dat andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiele of immateriële schade te veroorzaken.
Concreet betekent dit dat entiteiten die onder de Cyberbeveiligingswet vallen:
- Passende technische, operationele en organisatorische maatregelen moeten nemen om de beveiliging van systemen te waarborgen;
- (Daarbij) rekening moeten houden met de stand van de techniek, de uitvoeringskosten en met relevante Europese en internationale normen; en
- De gekozen aanpak dient af te stemmen op de omvang van de organisatie, de risico’s die de organisatie loopt en zowel de waarschijnlijkheid als de mogelijke impact van incidenten.
Van belang is dus om op te merken dat er geen vaste ondergrens is waarmee kan worden vastgesteld of een entiteit voldoende maatregelen heeft genomen. Elke entiteit die onder de Cyberbeveiligingswet valt, moet dat zelf beoordelen en vervolgens kunnen aantonen dat zij de juiste maatregelen heeft genomen. De Cyberbeveiligingswet merkt op dat nadere regels over onder andere de zorgplicht moeten worden gesteld bij Algemene maatregel van Bestuur (AmvB) (artikel 23 lid 4 Cyberbeveiligingswet); dat gebeurt in het Cyberbeveiligingsbesluit.
Het Cyberbeveiligingsbesluit
Het Cyberbeveiligingsbesluit regelt de praktische uitwerking van onder andere de zorgplicht en geeft er concrete invulling aan. Het besluit is op het moment van schrijven van deze blog nog in consultatie. De verwachting is dat dit besluit, tegelijk met de Cyberbeveiligingswet, in het tweede kwartaal van 2026 in werking zal treden. Het besluit zal dan het huidige Besluit beveiliging netwerk- en informatiesystemen (Bbni) vervangen.
In het Cyberbeveiligingsbesluit worden de tien zorgplichtmaatregelen nader uitgewerkt die belangrijke en essentiële entiteiten ten minste moeten implementeren om aan de wet te voldoen. Deze maatregelen zijn gebaseerd op artikel 21 lid 2 van de NIS2-richtlijn. Hieronder worden de maatregelen één voor één nader uiteengezet.
- Beleid inzake risicoanalyse en beveiliging van informatiesystemen
Het besluit bepaalt dat entiteiten een formeel vastgesteld beleid moeten hebben over de beveiliging van hun netwerk- en informatiesystemen (artikel 6), én over risicomanagement (artikel 7). Dit betekent onder meer dat zij verantwoordelijkheden en bevoegdheden binnen de organisatie moeten vastleggen, conflicterende rollen moeten scheiden, en een aantoonbare methodiek moeten hanteren voor risicobeheersing.
- Incidentbehandeling
Artikel 8 van het besluit verplicht tot een schriftelijk beleid over de behandeling van incidenten. Belangrijke en essentiële entiteiten moeten onder meer in staat zijn om incidenten tijdig te detecteren, beoordelen en documenteren. Ook moet er sprake zijn van 'logging' van relevante gebeurtenissen en het treffen van herstelmaatregelen.
- Continuïteitsbeheer en crisisbeheer
Volgens artikel 9 moeten entiteiten beschikken over een bedrijfscontinuïteitsplan en een crisisplan. Deze plannen moeten getest worden en bevatten onder meer procedures voor back-upbeheer, communicatie tijdens een crisis en de inzet van noodcommunicatiemiddelen.
- Beveiliging van de toeleveringsketen
Artikel 10 bepaalt dat entiteiten hun afhankelijkheden van leveranciers in kaart moeten brengen, beleid over ketenbeveiliging moeten vastleggen en waar mogelijk afspraken moeten maken met leveranciers over cyberbeveiliging. Ook moet er een actueel overzicht worden bijgehouden van deze relaties.
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
Op grond van artikel 11 moeten beveiligingseisen worden vastgesteld bij de aanschaf van software en hardware. Daarnaast moet worden voorzien in procedures voor veilige ontwikkeling, configuratiebeheer en wijzigingsbeheer van informatiesystemen.
- Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging
Artikel 12 verplicht entiteiten om ervoor te zorgen dat medewerkers zich bewust zijn van cyberrisico’s en basisprincipes toepassen van veilige omgang met IT. Voor functies met een specifieke beveiligingsrol geldt bovendien een opleidingsverplichting.
- Beleid over het gebruik van cryptografie
Volgens artikel 13 moet een organisatie een beleid hebben waarin is vastgelegd wanneer en hoe cryptografie wordt toegepast. Ook moet worden bepaald wie verantwoordelijk is voor de implementatie en het sleutelbeheer.
- Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en het beheer van assets
In de artikelen 14 t/m 16 zijn verplichtingen opgenomen met betrekking tot personeelstoewijzing, toegangsbeheer en het beheer van IT-assets. Organisaties moeten zorgen voor functiescheiding, een passend toegangsbeheerbeleid en een actueel overzicht van hun systemen en gegevens.
- Authenticatie en communicatiebeveiliging
Artikel 15, lid 1 en 2, schrijft voor dat maatregelen worden getroffen op het gebied van authenticatie en communicatiebeveiliging. Denk hierbij aan het toepassen van multifactorauthenticatie en beveiligde communicatiekanalen, indien mogelijk.
- Evaluatie en toetsing van beveiligingsmaatregelen
Tot slot verplicht artikel 18 organisaties om periodiek te evalueren of de genomen maatregelen doeltreffend zijn en of aanpassing nodig is. De resultaten hiervan moeten schriftelijk worden vastgelegd.
De bestuurders van belangrijke of essentiële entiteiten moeten de maatregelen goedkeuren en erop toezien dat ze worden nageleefd. Daarnaast hebben ze nog hun opleidingsplicht. De cybersecurity van een organisatie is aldus ook een bestuurlijke verantwoordelijkheid.
Wat wordt er nog meer uitgewerkt in het Cyberbeveiligingsbesluit?
Hoewel het merendeel van de bepalingen in het Cyberbeveiligingsbesluit betrekking heeft op de nadere invulling van de zorgplicht, bevat het besluit ook regels over onder andere incidentmeldingen, welke zien op de meldplicht voor organisaties en de trainingsplicht voor bestuurders.
Met betrekking tot de incidentmeldingen worden de procedures en termijnen nader gespecificeerd (hoofdstuk 6 Cyberbeveiligingsbesluit). Dit omvat onder meer de wijze waarop een melding moet worden gedaan en welke gegevens de betrokken entiteit daarbij moet verstrekken. In hoofdstuk 5 van het besluit worden aanvullende eisen gesteld aan zowel de inhoud van de trainingen als aan de kwalificaties van de trainers. Deze trainingen zijn bedoeld om bestuurders meer kennis en vaardigheden bij te brengen die nodig zijn om de beveiliging van hun systemen te waarborgen.
Conclusie
Als uw organisatie onder de reikwijdte van de Cyberbeveiligingswet valt, bent u ook verplicht om te voldoen aan de (zorg)plicht(en) en de bijbehorende maatregelen die in het besluit zijn vastgelegd. De verplichtingen, waaronder de zorgplicht, zijn géén vrijblijvende aanbevelingen, maar juridisch bindende eisen die cruciaal zijn voor het waarborgen van de digitale veiligheid van uw organisatie. De toezichthouder heeft immers de bevoegdheid om sancties op te leggen, waaronder boetes of aanwijzingen, wanneer blijkt dat uw organisatie niet voldoet aan de verplichtingen.
En nu?
Heeft u al stappen gezet om tijdig te voldoen aan de verplichtingen die de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit met zich meebrengen? De verwachting is dat de wet en het besluit in het tweede kwartaal van 2026 in werking treden. Entiteiten die niet voldoen aan de wet, riskeren boetes en bestuurders daarvan kunnen persoonlijk aansprakelijk worden gesteld wanneer niet wordt voldaan aan de zorgplicht.
Het is van belang dat u tijdig aan de slag gaat met de voorbereidingen. Hulp nodig? Onze IT-specialisten staan voor u klaar.
