Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet implementeert NIS2 in Nederlandse wetgeving en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet is bedoeld om de digitale weerbaarheid van belangrijke en essentiële organisaties te verhogen. In de Nederlandse uitwerking worden drie hoofdverplichtingen wettelijk verankerd: zorgplicht, meldplicht en registratieplicht. Daarnaast komt er toezicht op naleving. Het NCSC geeft aan dat zijn werkterrein hierdoor uitbreidt naar meer dan circa 8.000 organisaties.

Waarom is de Cbw relevant voor bestuur en niet alleen voor IT?

Veel organisaties framen cyberbeveiliging nog als een operationeel of technisch dossier. De Cbw doet het tegenovergestelde. De wet legt nadruk op risicobeoordeling, passende maatregelen, meldingen, toezicht en bestuurlijke betrokkenheid. Het bestuur moet de maatregelen goedkeuren, toezicht houden op de uitvoering en daarvoor ook opleiding volgen.
Daarmee verschuift cyber van “iets van security” naar een dossier over governance, continuïteit, leveranciersafhankelijkheid, audittrail en bestuurlijke verantwoordelijkheid.

Voor een CISO betekent dat: betere bestuurlijke verankering, maar ook hogere eisen aan board reporting en aantoonbaarheid.
Voor een ISO of Security Manager betekent het: minder ruimte voor losse acties en meer noodzaak voor structurele normkoppeling, eigenaarschap en auditvoorbereiding.
Voor een Compliance Officer betekent het: cyber kan niet meer los gezien worden van governance en controle.
Voor een FG/DPO is vooral relevant dat meldingen, verantwoordelijkheden en bewijsvoering goed traceerbaar moeten zijn.
Voor bestuur en directie geldt: je moet kunnen uitleggen welke risico’s je accepteert, welke maatregelen je neemt en hoe je grip houdt op incidenten en ketenafhankelijkheden.

Voor wie geldt de Cyberbeveiligingswet?

De Cbw geldt voor essentiële en belangrijke entiteiten. Welke categorie op een organisatie van toepassing is, hangt af van sector, type dienstverlening en in veel gevallen ook omvang. Sommige typen organisaties vallen ongeacht hun omvang onder de wet, waaronder overheidsorganisaties, gekwalificeerde vertrouwensdienstverleners, aanbieders van registers voor topleveldomeinnamen en DNS-dienstverleners. Aanbieders van openbare elektronische communicatienetwerken en -diensten vallen eveneens onder de wet; middelgrote aanbieders kwalificeren daarbij als essentiële entiteit.

De wet maakt onderscheid in toezicht:

• Essentiële entiteiten vallen onder proactief toezicht.
• Belangrijke entiteiten vallen onder reactief toezicht.

Voor digitale dienstverleners kan de beoordeling complexer zijn, vooral bij internationale structuren. De NCTV noemt expliciet hoofdvestiging, vertegenwoordiging binnen de EU en grensoverschrijdende dienstverlening als relevante factoren. Juist daar ontstaan in de praktijk veel verkeerde aannames: organisaties denken dat één Nederlandse bv automatisch leidend is, terwijl de feitelijke governance- en besluitstructuur bepalend kan zijn.