Waar wilt u heen?
085 06 08 419
085 06 08 419
info@zcur.nl
Advies  Algemene beveiliging  Informatie beveiliging  ZCUR algemeen

Cyberbeveiligingswet: stand van zaken voor NIS2 (maart 2025)

Cyberbeveiligingswet: stand van zaken voor NIS2

De NIS2 richtlijn moet omgezet worden in Nederlandse wetgeving. Dat gebeurt met de Cyberbeveiligingswet en een bijbehorend besluit. Hoe vordert dit proces, wat zijn de rechten en plichten en is er haast bij geboden bij het trainen van bestuurders of niet? Daar lees je meer over in dit artikel.

De huidige stand van zaken voor NIS2

Het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) is op 2 december 2024 naar de Afdeling advisering van de Raad van State gestuurd voor advies.

Naar verwachting wordt deze in het eerste kwartaal van 2025 aangeboden aan de Tweede Kamer. De inwerkingtreding staat nog steeds gepland voor het derde kwartaal van 2025.

In het Cyberbeveiligingsbesluit worden de zorgplicht en registratieplicht verder uitgewerkt. Maar ook de opleidingsplicht voor bestuurders. Het concept hiervoor is op 20 februari 2025 gedeeld voor een internetconsultatie. Iedereen kan tot en met 30 maart op de voorstellen reageren. De documenten zijn hier te vinden.

Op dit moment: wel de lusten, niet de lasten

Tijdens de periode tussen 17 oktober 2024 en de inwerkingtreding van de (Nederlandse) Cyberbeveiligingswet hebben de entiteiten die onder de (Europese) NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT).

Voor alle essentiële en belangrijke entiteiten gaan de verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Lees hier de hele kamerbrief.

Plichten onder NIS2

De cyberbeveiligingswet kent drie soorten plichten:

  • De zorgplicht; hierbij gaat het om het treffen van beveiligingsmaatregelen
  • De meldplicht; hierbij gaat het om het melden van incidenten bij toezichthouders, zoals het NCSC
  • De registratieplicht; het is verplicht om je als NIS2 partij te registreren.

Zie ook ons eerdere blogbericht over de NIS2 richtlijnen.

Met de zorgplicht kun je al aan de slag. Op de website van het Digital Trust Center staan 10 concrete beveiligingsmaatregelen uit de zorgplicht uitgewerkt. Het gaat tenminste om de volgende maatregelen:

  1. Een risicoanalyse en beveiliging van informatiesystemen;
  2. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
  3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
  4. Incidentenbehandeling;
  5. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
  6. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  7. Beveiliging van de toeleveranciersketen;
  8. Beleid en procedures over het gebruik van cryptografie en encryptie;
  9. Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
  10. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Deze maatregelen zijn eigenlijk niet nieuw. Ze zijn vrij basaal en organisaties die al stappen hebben gezet met beveiligingskaders zoals de BIO, NEN 7510 of ISO 27001 hebben vaak al veel van dit soort zaken op orde. Hierover het volgende.

BIO2/NEN 7510

De zorgplichtverplichtingen vanuit de NIS2-richtlijn zijn in grote mate in lijn met bestaande kaders voor informatiebeveiliging. Zoals de NEN 7510, ISO 27001 en de Baseline Informatieveiligheid Overheid (BIO).

Het voornemen is om de zorgplicht voor organisaties met bovenstaande raamwerken in te vullen. Er wordt dus zoveel mogelijk aan bestaande normenkaders vastgehouden. Het is belangrijk dat organisaties controleren of zij aan deze kaders voldoen.

De verschillen tussen de NIS2 en de huidige kaders zijn gelukkig gering. Het gaat met name om aanscherpingen op het gebied van:

  • Aanvullingen op aansprakelijkheid en verantwoordelijkheid van het bestuur;
  • De nieuwe meldplicht van incidenten;
  • Bedrijfscontinuïteit.

Zie ook de mapping NIS2/BIO2.

Kijk hier voor de meest gestelde vragen over de NIS2. 

Haast bij trainen van bestuurders?

Vanaf het moment dat de wet definitief wordt, heb je als bestuurder nog 2 jaar om jezelf te trainen. Haast heeft dit dus niet.

De kennis die je moet hebben als bestuurder is vooralsnog vrij algemeen omschreven. In het nieuwe Cyberbeveiligingsbesluit wordt daar iets dieper op ingegaan, maar de eisen blijven relatief summier. Het gaat vooralsnog om:

  • Risico’s kunnen identificeren
  • Maatregelen kunnen beoordelen
  • Kunnen beoordelen wat de risico en maatregelen voor gevolgen hebben voor de dienstverlening.

Het is wel belangrijk deze onderwerpen ook op het trainingscertificaat staan, zodat je als bestuurder kunt aantonen dat je op deze ontwerpen getraind bent. Ook het aantal trainingsuren moet daarop staan.

Weet je niet waar je moet beginnen? Of hoe je verder moet met de NIS2?

Weet je het even niet (meer)? Bel dan gerust even met Remon (085 06 08 419) of stuur hem een mail via Remon@ZCUR.nl. Hij checkt hoe jullie ervoor staan en helpt je de juiste richting op. Als meer ondersteuning gewenst is, doet hij je graag een voorstel voor ondersteuning op basis van de exacte behoefte van jouw organisatie.