Cyberbeveiligingswet: nieuwe verplichtingen voor bedrijven onder NIS2-richtlijn
De Cyberbeveiligingswet (Cbw) treedt naar verwachting in het derde kwartaal van 2025 in werking en heeft grote gevolgen voor veel ondernemingen. De wet, die de Europese NIS2-richtlijn implementeert, stelt strengere eisen aan cybersecurity en weerbaarheid. Vooral grote en middelgrote bedrijven in essentiële sectoren krijgen te maken met nieuwe verplichtingen zoals zorg-, registratie- en meldplichten. Ook mkb-ondernemingen kunnen indirect onder de wet vallen. Wat betekent dit voor jouw organisatie?
Welke bedrijven vallen onder de wet?
De invoering van de Cbw heeft directe gevolgen voor veel ondernemingen. En dan voornamelijk voor grote en middelgrote ondernemingen die actief zijn in sectoren waar digitale verstoringen aanzienlijke gevolgen kunnen hebben op ons dagelijks leven. Voorbeelden hiervan zijn verstoringen in het betalingsverkeer of de energievoorziening. Een onderneming kan met de door de overheid gepubliceerde zelfevaluatie bepalen of zij onder de Cbw valt. De zelfevaluatie geeft ook aan of de onderneming essentieel of belangrijk is. Essentiële ondernemingen hebben bij falen een groter maatschappelijke impact dan belangrijke ondernemingen en zijn daardoor onderhevig aan strenger toezicht.
Nieuwe verplichtingen voor ondernemingen
Ondernemingen die onder de Cyberbeveiligingswet vallen, moeten voldoen aan een zorgplicht, registratieplicht en meldplicht. De zorgplicht vereist dat zij analyseren welke beveiliging- en continuïteitsrisico’s voor hun onderneming aanwezig zijn. Aandachtsgebieden zijn bijvoorbeeld cyberaanvallen, data diefstal en risico’s in de leveringsketen. Op basis van de analyse moeten zij passende maatregelen nemen om de beveiliging en de continuïteit te waarborgen. De registratieplicht moet ervoor zorgen dat er een totaaloverzicht komt van alle essentiële en belangrijke organisaties in Europa. Volgens de meldplicht moeten organisaties binnen 24 uur elk incident melden dat de betrouwbare en continue werking van hun geautomatiseerde systemen in gevaar brengt of heeft gebracht.
Gevolgen voor het mkb
Het klinkt raar, maar een mkb-onderneming kan (onbedoeld) een risico vormen voor een verstoring bij een essentiële of een belangrijke onderneming. Ontwikkelt een mkb-onderneming software voor een essentiële of belangrijke onderneming? Dan is het de verantwoordelijkheid van de mkb-onderneming om ervoor te zorgen dat de software geen virussen bevat die de continuïteit van die entiteit kunnen bedreigen. Daarom wordt de mkb-onderneming en haar dienstverlening betrokken bij de risicoanalyse die een essentiële of belangrijke onderneming moet uitvoeren in het kader van haar zorgplicht. Het is dus vanuit het oogpunt van de essentiële onderneming noodzakelijk dat de mkb-onderneming cyberveilig is.
Hulp bij cybersecurity: Samen Digitaal Veilig
Samen Digitaal Veilig is een samenwerkingsverband van meer dan 90 brancheorganisaties die gezamenlijk 175.000 bedrijven vertegenwoordigen. Met praktische kennis en ondersteuning helpt Samen Digitaal Veilig mkb-ondernemingen hun cybersecurity te versterken. Zo is er onder andere een gratis startpakket met instructies en trainingsvideo’s beschikbaar.
Een van de initiatieven die door Samen Digitaal Veilig worden aangemoedigd, is het NIS2 Quality Mark. Dit is een laagdrempelig kwaliteitskeurmerk waarmee mkb-ondernemingen kunnen aantonen dat zij cyberveilig zijn.
Lees meer
Meer over de Cyberbeveiligingswet en de gevolgen daarvan voor ondernemingen is te lezen op de website van het Nationaal Cyber Security Centrum.