De veelbesproken NIS2-richtlijn van de Europese Unie wordt in het tweede kwartaal van 2026 in Nederland geïmplementeerd in de Cyberbeveiligingswet. Met de komst van deze wet worden de eisen voor cyberbeveiliging voor belangrijke en essentiële entiteiten in Nederland aangescherpt en komen er vergaande verplichtingen voor organisaties die onder de reikwijdte van de wet vallen. Enkele verplichtingen in de Cyberbeveiligingswet dienen worden uitgewerkt in het Cyberbeveiligingsbesluit. In deze blog bespreken Myra Grobben en Joost van Dongen enkele belangrijke onderwerpen uit dit besluit.
Datum: 03 juli 2025
Gewijzigd 03 juli 2025
Geschreven door: Niels van den Bogaard en Joost van Dongen
Leestijd: +/- 5 minuten
De nadruk in deze blog ligt op de uitwerking van de zogenoemde zorgplicht die geldt voor entiteiten die onder de Cyberbeveiligingswet vallen. Vragen die hierin aan bod zullen komen, zijn: wat houdt de zorgplicht in binnen de Cyberbeveiligingswet? Hoe wordt deze plicht verder uitgewerkt in het Cyberbeveiligingsbesluit? Welke plichten komen nog meer aan bod binnen het Cyberbeveiligingsbesluit? En wat moet u als ondernemer concreet doen om te voldoen aan de plichten?
De Cyberbeveiligingswet beoogt de digitale weerbaarheid van essentiële en belangrijke entiteiten in Nederland te versterken. De wet kent vier hoofdverplichtingen die organisaties moeten naleven, te weten een zorgplicht, een meldplicht, een registratieplicht en een opleidingsplicht voor bestuurders. Daarnaast staan organisaties onder toezicht en handhaving van toezichthouders. Maar van al deze verplichtingen is de zorgplicht de meest fundamentele, omdat deze de basis legt voor de overige verplichtingen en het uitgangspunt vormt voor de mate van bescherming die organisaties moeten bieden.
Volgens artikel 23 van de Cyberbeveiligingswet moet elke essentiële en belangrijke entiteit passende en evenredige technische, operationele en organisatorische maatregelen treffen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Deze maatregelen moeten gericht zijn op het voorkomen van zogenoemde significante incidenten. Dit zijn incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteiten veroorzaken of kunnen veroorzaken. Onder een significant incident wordt ook verstaan een incident dat andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiele of immateriële schade te veroorzaken.
Concreet betekent dit dat entiteiten die onder de Cyberbeveiligingswet vallen:
Van belang is dus om op te merken dat er geen vaste ondergrens is waarmee kan worden vastgesteld of een entiteit voldoende maatregelen heeft genomen. Elke entiteit die onder de Cyberbeveiligingswet valt, moet dat zelf beoordelen en vervolgens kunnen aantonen dat zij de juiste maatregelen heeft genomen. De Cyberbeveiligingswet merkt op dat nadere regels over onder andere de zorgplicht moeten worden gesteld bij Algemene maatregel van Bestuur (AmvB) (artikel 23 lid 4 Cyberbeveiligingswet); dat gebeurt in het Cyberbeveiligingsbesluit.
Het Cyberbeveiligingsbesluit regelt de praktische uitwerking van onder andere de zorgplicht en geeft er concrete invulling aan. Het besluit is op het moment van schrijven van deze blog nog in consultatie. De verwachting is dat dit besluit, tegelijk met de Cyberbeveiligingswet, in het tweede kwartaal van 2026 in werking zal treden. Het besluit zal dan het huidige Besluit beveiliging netwerk- en informatiesystemen (Bbni) vervangen.
In het Cyberbeveiligingsbesluit worden de tien zorgplichtmaatregelen nader uitgewerkt die belangrijke en essentiële entiteiten ten minste moeten implementeren om aan de wet te voldoen. Deze maatregelen zijn gebaseerd op artikel 21 lid 2 van de NIS2-richtlijn. Hieronder worden de maatregelen één voor één nader uiteengezet.
De bestuurders van belangrijke of essentiële entiteiten moeten de maatregelen goedkeuren en erop toezien dat ze worden nageleefd. Daarnaast hebben ze nog hun opleidingsplicht. De cybersecurity van een organisatie is aldus ook een bestuurlijke verantwoordelijkheid.
Hoewel het merendeel van de bepalingen in het Cyberbeveiligingsbesluit betrekking heeft op de nadere invulling van de zorgplicht, bevat het besluit ook regels over onder andere incidentmeldingen, welke zien op de meldplicht voor organisaties en de trainingsplicht voor bestuurders.
Met betrekking tot de incidentmeldingen worden de procedures en termijnen nader gespecificeerd (hoofdstuk 6 Cyberbeveiligingsbesluit). Dit omvat onder meer de wijze waarop een melding moet worden gedaan en welke gegevens de betrokken entiteit daarbij moet verstrekken. In hoofdstuk 5 van het besluit worden aanvullende eisen gesteld aan zowel de inhoud van de trainingen als aan de kwalificaties van de trainers. Deze trainingen zijn bedoeld om bestuurders meer kennis en vaardigheden bij te brengen die nodig zijn om de beveiliging van hun systemen te waarborgen.
Als uw organisatie onder de reikwijdte van de Cyberbeveiligingswet valt, bent u ook verplicht om te voldoen aan de (zorg)plicht(en) en de bijbehorende maatregelen die in het besluit zijn vastgelegd. De verplichtingen, waaronder de zorgplicht, zijn géén vrijblijvende aanbevelingen, maar juridisch bindende eisen die cruciaal zijn voor het waarborgen van de digitale veiligheid van uw organisatie. De toezichthouder heeft immers de bevoegdheid om sancties op te leggen, waaronder boetes of aanwijzingen, wanneer blijkt dat uw organisatie niet voldoet aan de verplichtingen.
Heeft u al stappen gezet om tijdig te voldoen aan de verplichtingen die de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit met zich meebrengen? De verwachting is dat de wet en het besluit in het tweede kwartaal van 2026 in werking treden. Entiteiten die niet voldoen aan de wet, riskeren boetes en bestuurders daarvan kunnen persoonlijk aansprakelijk worden gesteld wanneer niet wordt voldaan aan de zorgplicht.
Het is van belang dat u tijdig aan de slag gaat met de voorbereidingen. Hulp nodig? Onze IT-specialisten staan voor u klaar.
Wilt u weten of uw organisatie onder de Cyberbeveiligingswet valt en/of heeft u hulp nodig bij het voorbereiden op de (zorg)plicht(en)? Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.