De Cyberbeveiligingswet (Cbw/ NIS2 richtlijn)

De Cyberbeveiligingswet (Cwb)

De NIS2 is een Europese richtlijn voor cybersecurity en de omgang met cyberincidenten. Deze richtlijn volgt de NIS op, die in Nederland is omgezet in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni). De Cyberbeveiligingswet (Cbw) op basis van de NIS2-richtlijn gaat in het derde kwartaal van 2025 in.

De belangrijkste verschillen tussen NIS2 en NIS:

• organisaties vallen automatisch onder de NIS2-richtlijn als ze worden gezien als ‘essentieel’ of ‘belangrijk’; 
• alle processen van deze belangrijke of essentiële organisaties vallen onder de wet, niet alleen die processen die bij de in de Cbw gedefinieerde sector horen.

Veel organisaties die actief zijn in de sectoren van het ministerie van Infrastructuur en Waterstaat krijgen met de Cyberbeveiligingswet te maken. Het gaat om de sectoren luchtvaart, wegvervoer, spoorvervoer, scheepvaart, drinkwatervoorziening, chemische industrie, en afvalwater- en afvalstoffenverwerking.

Meer over de Cyberbeveiligingswet lees je op de website van het Nationaal Cyber Security Centrum (NCSC): Cyberbeveiligingswet (NIS2-richtlijn).
Of lees meer over de NIS2-richtlijn op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid.

Wie valt onder de NIS2-richtlijn?

Organisaties die ‘belangrijk’ of ‘essentieel’ zijn, vallen automatisch onder de Cyberbeveiligingswet. Of een organisatie belangrijk of essentieel is, hangt af van het werk dat ze doen. Hieronder zie je een overzicht van de sectoren en organisaties die vallen onder de verantwoordelijkheid van het ministerie van IenW én zich moeten houden aan de Cyberbeveiligingswet:

• Luchtvaart: Luchtvaartmaatschappijen, Luchthavens en luchthavenbeheerders, Luchtverkeersleidingsdiensten
• Scheepvaart: Havens, Havenfaciliteiten, Reders
• Spoorvervoer: Personen- en Goederenvervoerders, beheerder van de spoorweginfrastructuur
• Wegvervoer: Wegbeheerders, ITS-aanbieders
• Water: Drinkwater, Afvalwater
• Chemie: Grote chemiebedrijven, producenten en distributeurs van chemicaliën.
• Afval: Verwerkers van vast afval
• Kritieke entiteiten: die organisaties zijn aangewezen op grond van de Wet weerbaarheid kritieke entiteiten.

Wat is het verschil tussen essentieel en belangrijk?

Er zijn verschillen tussen organisaties die essentieel zijn, en organisaties die belangrijk zijn. Essentiële entiteiten krijgen proactief toezicht. Belangrijke entiteiten krijgen meer reactief toezicht.  

Hieronder zie je de verschillen op een rij:

Verschil essentieel en belangrijk

Essentiële entiteiten	Belangrijke entiteiten
Organisaties met minimaal 250 werknemers (fte).	Organisaties met minimaal 50 werknemers (fte).
Organisaties met een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro.	Organisaties met een jaaromzet én balanstotaal van meer dan 10 miljoen euro
Organisaties die op grond van de Wet weerbaarheid kritieke entiteiten zijn aangewezen als kritieke entiteit. Deze wet gaat over de fysieke weerbaarheid van organisaties.	Organisaties die horen bij de sectoren in bijlage 2 van de NIS2-richtlijn. Voor IenW zijn dat afvalstoffenbeheer en chemische stoffen.

Wat zijn de verantwoordelijkheden?

Als organisaties de Cyberbeveiligingswet (Cbw) moeten volgen, dan hebben ze een aantal verantwoordelijkheden: 

• Zorgplicht: Organisaties moeten de beveiliging van hun netwerk- en informatiesystemen op orde hebben. Dit geldt ook voor de beveiliging van de Operationele Technologiesystemen (OT) binnen de organisatie. Ze zijn verplicht om zelf een risicobeoordeling uit te voeren. Nieuw is dat daarbij specifiek aandacht moet zijn voor de risico's die spelen in de afhankelijkheid van anderen. Dit noem je ketenrisico's. Ook moeten ze de hele organisatie in de risicoanalyse meenemen. Op basis van de risicobeoordeling nemen organisaties passende maatregelen om risico’s minder groot te maken en incidenten te voorkomen. 
• Registratieplicht: Organisaties die vallen onder de Cyberbeveiligingswet zijn verplicht zich te registreren. Er komt een centraal registratieportaal.    
• Meldplicht: Belangrijke incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder en het aangewezen Computer Security Incident Response Team (CSIRT). Ze moeten een incident melden als bijvoorbeeld een bepaald aantal personen door de verstoring is geraakt, de verstoring een bepaalde tijd heeft geduurd en er mogelijke financiële verliezen zijn. Het staat nog niet vast aan welke eisen een incident moet voldoen om gemeld te moeten worden.
• Ondersteuning: Volgens de NIS2-richtlijn moet een Computer Security Incident Response Team (CSIRT) essentiële en belangrijke organisaties ondersteunen met advies en bijstand. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
• Bestuurlijke aansprakelijkheid: Bestuurders van essentiële en belangrijke organisaties zijn aansprakelijk voor het beleid van hun organisatie. Zij hebben ook een opleidingsplicht. Bestuursleden worden hoofdelijk aansprakelijk als ze de regels niet naleven. Dat betekent dat ze hier als individu op aangesproken kunnen worden. Deze verantwoordelijkheden worden op dit moment verder uitgewerkt.
• Toezicht: Namens het ministerie van Infrastructuur en Waterstaat speelt de Inspectie Leefomgeving en Transport (ILT) een sleutelrol in het toezicht op de naleving van de NIS2-richtlijn. De toezichthouder controleert of de zorgplicht, registratieplicht en meldplicht worden nageleefd. Dit toezicht is risico-gestuurd. De toezichthouder houdt er dus rekening mee dat elke organisatie te maken heeft met risico’s.

Heb je vragen?

Kijk bij onze veelgestelde vragen of stuur je vraag naar cernis@minienw.nl.