Nieuwe regels voor cybersecurity in Nederland

De nieuwe Cyberbeveiligingswet (Cbw), gebaseerd op de NIS2-richtlijn van de EU, introduceert strengere cybersecurityregels in Nederland. Hoewel de implementatie van de Cbw pas in 2025 wordt verwacht, is het belangrijk dat bedrijven in kritieke sectoren, zoals energie, transport en gezondheidszorg, nu al voorbereidingen treffen om te voldoen aan deze eisen.

Nederland bereidt zich voor op de invoering van de nieuwe Cyberbeveiligingswet (Cbw), die de Europese NIS2-richtlijn implementeert. Deze wet, die in 2025 van kracht wordt, introduceert strengere cybersecurityregels voor bedrijven in maatschappelijk belangrijke sectoren. De Cbw heeft als doel om risico's te beperken en incidenten te voorkomen, en legt hierbij nadruk op verantwoordelijkheid, meldplicht en risicobeheersing.

Wie valt onder de Cbw?

De wet is van toepassing op bedrijven in zogenoemde "kritieke sectoren". Organisaties worden ingedeeld in twee categorieën:

  1. Essentiële entiteiten: Grote organisaties in sectoren zoals energie, transport en digitale infrastructuur.
  2. Belangrijke entiteiten: Middelgrote organisaties in sectoren zoals voedselproductie, afvalbeheer en gezondheidszorg.

Ook kleinere entiteiten met een hoog cybersecurityrisicoprofiel, zoals domeinnaamregistratiediensten en aanbieders van openbare communicatiediensten, vallen onder de reikwijdte.

Wat wordt van bedrijven verwacht?

Bedrijven moeten "passende en evenredige" technische, organisatorische en operationele maatregelen nemen. Voorbeelden hiervan zijn:

  • Het opstellen van incidentafhandelingsplannen.
  • Het beveiligen van netwerken, toeleveringsketens en fysieke infrastructuur.
  • Het trainen van medewerkers in cyberbeveiliging.

Het bestuur van een organisatie speelt hierin een belangrijke rol. Bestuurders zijn verantwoordelijk voor het goedkeuren van maatregelen, toezicht houden op de naleving en het bevorderen van cybersecuritybewustzijn binnen hun organisatie.

Meldplicht bij incidenten

Bij een significant cybersecurityincident, zoals datalekken of netwerkstoringen, geldt een meldplicht.

  • Binnen 24 uur: Een eerste melding (waarschuwing) indienen.
  • Binnen 72 uur: Een gedetailleerde melding doen.
  • Binnen 1 maand: Een eindrapport opstellen.

Deze meldplicht geldt bovenop andere verplichtingen, zoals die uit de Algemene Verordening Gegevensbescherming (AVG).

Strenge handhaving en hoge boetes

De toezichthoudende instanties hebben uitgebreide bevoegdheden, waaronder inspecties, bindende aanwijzingen en zelfs tijdelijke schorsing van vergunningen. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet voor essentiële entiteiten.

Waarom nu starten?

Hoewel de Cbw pas in 2025 wordt ingevoerd, is de voorbereiding complex en tijdrovend. Organisaties moeten contracten, processen en leveranciersscreenings aanpassen. Vooral internationaal actieve bedrijven moeten rekening houden met de NIS2-implementaties in andere EU-landen, die al eerder van kracht zijn.

Aanbeveling voor bedrijven

  1. Begin direct met de implementatie van NIS2-maatregelen.
  2. Laat het bestuur en de medewerkers trainen in cybersecurityverantwoordelijkheden.
  3. Overweeg aanvullende verzekeringen, zoals een bestuurdersaansprakelijkheidsverzekering en een cybersecurityverzekering, om financiële risico's te beperken.

Door nu actie te ondernemen, kunnen bedrijven voldoen aan de aankomende wetgeving en zich beschermen tegen mogelijke incidenten en boetes.

Meer nieuws over datarisk­verzekering­en

26-11-2024

Cyber 360 Combinatiekorting voor onze Markel verzekerden met een Markel beroepsaansprakelijkheidsverzekering

Combinatiekorting Markel Cyber360 voor verzekerden met een Markel beroepsaansprakelijkheidsverzekering

Lees verder