Op 15 april 2025 is de Cyberbeveiligingswet aangenomen door de Tweede Kamer. De wet is momenteel in behandeling in de Eerste Kamer en zal naar verwachting in het tweede kwartaal van 2026 in werking treden, al is de exacte datum nog niet bekend.
Nederland implementeert door middel van de Cyberbeveiligingswet de Network and Information Security richtlijn. Deze richtlijn is gericht op het verbeteren van de cyberbeveiliging en de weerbaarheid van essentiële diensten.
Het doel van de Cyberbeveiligingswet
Het doel van de Cyberbeveiligingswet is het versterken van de cyberverplichtingen voor entiteiten in sectoren met een (groot) maatschappelijk of economisch gewicht, die zijn uitgewerkt in Bijlage 1 en 2 van de wet. Relevante sectoren zijn onder andere de energiesector, de vervoerssector en de gezondheidszorg maar ook het beheer van ICT-diensten en digitale aanbieders zijn relevante sectoren.
De Cyberbeveiligingswet is van toepassing op organisaties binnen de gedefinieerde sectoren die voldoen aan de toepasselijke omvangscriteria (aantal werknemers, jaaromzet en balanstotaal). Kleine ondernemingen, minder dan 50 medewerkers én een jaaromzet of balanstotaal van ten hoogste €10 miljoen, vallen in beginsel buiten de reikwijdte van de wet. Voor bepaalde organisaties gelden de omvangscriteria echter niet: zij vallen altijd onder de Cyberbeveiligingswet, ongeacht hun omvang.
Verplichtingen uit de Cyberbeveiligingswet
Organisaties die onder de Cyberbeveiligingswet vallen, hebben verschillende verplichtingen om de digitale weerbaarheid te versterken:
- Zorgplicht: De organisatie moet passende maatregelen nemen om netwerk- en informatiesystemen te beveiligen en cyberincidenten te voorkomen.
- Meldplicht: Ernstige incidenten moeten zonder onnodige vertraging worden gemeld bij de bevoegde autoriteiten.
- Registratieplicht: Organisaties moeten zich inschrijven in een aangewezen register.
Het bestuur is verantwoordelijk voor het cyberbeveiligingsbeleid binnen hun organisatie en het naleven van de Cyberbeveiligingswet, en kan daarop aangesproken worden.
Let op: ook voor u relevant!
Op basis van het bovenstaande kan de indruk ontstaan dat voornamelijk grote organisatie die direct onder de wet vallen door de Cyberbeveiligingswet worden ‘geraakt’. Dit is echter niet het geval. De wet verplicht ondernemingen die onder het toepassingsbereik vallen namelijk ook om de cyberbeveiligingsrisico’s in hun toeleveringsketen te beheersen. Zij moeten eisen stellen aan de beveiliging van hun leveranciers en dienstverleners, en zich ervan verzekeren dat deze partijen ook passende maatregelen treffen.
Dit betekent dat de wet in de praktijk ook relevant is voor organisaties die niet zelf onder de Cyberbeveiligingswet vallen, maar wel als toeleverancier of dienstverlener optreden voor een entiteit die dat wél doet. Zij kunnen via contractuele verplichtingen worden gehouden aan specifieke beveiligingseisen. Het is daarom verstandig om tijdig in kaart te brengen of uw organisatie deel uitmaakt van een keten waarbij Cyberbeveiligingswet -plichtige organisaties zijn betrokken.
