De Cyberbeveiligingswet (Cbw/ NIS2 richtlijn)

Veel van ons leven en werk speelt zich af in de digitale wereld. Omdat de digitale veiligheid van onze samenleving en economie staat steeds vaker onder druk staat voert de Europese Unie (EU) de ‘Network and Information Security Directive’ (NIS2) in. De NIS2-richtlijn wordt omgezet in de nationale Cyberbeveiligingswet (Cbw). Op het moment dat de Cbw wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Tegelijkertijd loopt ook de implementatie van de ‘Critical Entities Resilience Directive’ (CER), die wordt omgezet in de nationale Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten gaan eind 2025 in.

De concept-wetteksten zijn gepubliceerd voor consultatie in de periode 21 mei tot 2 juli 2024. De concept-wetteksten en bijbehorende memories van toelichting zijn in te zien op:

Wat houdt de Cyberbeveiligingswet (Cbw) in? En betekent het iets voor jouw organisatie? Lees er meer over op deze pagina. 

De Cyberbeveiligingswet (Cwb)

De NIS2 is een Europese richtlijn voor cybersecurity en de omgang met cyberincidenten. Deze richtlijn volgt de NIS op, die in Nederland is omgezet in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni). De Cyberbeveiligingswet (Cbw) op basis van de NIS2-richtlijn gaat in het derde kwartaal van 2025 in.

De belangrijkste verschillen tussen NIS2 en NIS:

  • organisaties vallen automatisch onder de NIS2-richtlijn als ze worden gezien als ‘essentieel’ of ‘belangrijk’; 
  • alle processen van deze belangrijke of essentiële organisaties vallen onder de wet, niet alleen die processen die bij de in de Cbw gedefinieerde sector horen.

Veel organisaties die actief zijn in de sectoren van het ministerie van Infrastructuur en Waterstaat krijgen met de Cyberbeveiligingswet te maken. Het gaat om de sectoren luchtvaart, wegvervoer, spoorvervoer, scheepvaart, drinkwatervoorziening, chemische industrie, en afvalwater- en afvalstoffenverwerking.

Meer over de Cyberbeveiligingswet lees je op de website van het Nationaal Cyber Security Centrum (NCSC): Cyberbeveiligingswet (NIS2-richtlijn).
Of lees meer over de NIS2-richtlijn op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid.

Wie valt onder de NIS2-richtlijn?

Organisaties die ‘belangrijk’ of ‘essentieel’ zijn, vallen automatisch onder de Cyberbeveiligingswet. Of een organisatie belangrijk of essentieel is, hangt af van het werk dat ze doen. Hieronder zie je een overzicht van de sectoren en organisaties die vallen onder de verantwoordelijkheid van het ministerie van IenW én zich moeten houden aan de Cyberbeveiligingswet:

  • Luchtvaart: Luchtvaartmaatschappijen, Luchthavens en luchthavenbeheerders, Luchtverkeersleidingsdiensten
  • Scheepvaart: Havens, Havenfaciliteiten, Reders
  • Spoorvervoer: Personen- en Goederenvervoerders, beheerder van de spoorweginfrastructuur
  • Wegvervoer: Wegbeheerders, ITS-aanbieders
  • Water: Drinkwater, Afvalwater
  • Chemie: Grote chemiebedrijven, producenten en distributeurs van chemicaliën.
  • Afval: Verwerkers van vast afval
  • Kritieke entiteiten: die organisaties zijn aangewezen op grond van de Wet weerbaarheid kritieke entiteiten.

Wat is het verschil tussen essentieel en belangrijk?

Er zijn verschillen tussen organisaties die essentieel zijn, en organisaties die belangrijk zijn. Essentiële entiteiten krijgen proactief toezicht. Belangrijke entiteiten krijgen meer reactief toezicht.  

Hieronder zie je de verschillen op een rij:

Verschil essentieel en belangrijk

Essentiële entiteiten Belangrijke entiteiten

Organisaties met minimaal 250 werknemers (fte).

Organisaties met minimaal 50 werknemers (fte).

Organisaties met een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro.

Organisaties met een jaaromzet én balanstotaal van meer dan 10 miljoen euro

Organisaties die op grond van de Wet weerbaarheid kritieke entiteiten zijn aangewezen als kritieke entiteit. Deze wet gaat over de fysieke weerbaarheid van organisaties. Organisaties die horen bij de sectoren in bijlage 2 van de NIS2-richtlijn. Voor IenW zijn dat afvalstoffenbeheer en chemische stoffen.

Wat zijn de verantwoordelijkheden?

Als organisaties de Cyberbeveiligingswet (Cbw) moeten volgen, dan hebben ze een aantal verantwoordelijkheden: 

  • Zorgplicht: Organisaties moeten de beveiliging van hun netwerk- en informatiesystemen op orde hebben. Dit geldt ook voor de beveiliging van de Operationele Technologiesystemen (OT) binnen de organisatie. Ze zijn verplicht om zelf een risicobeoordeling uit te voeren. Nieuw is dat daarbij specifiek aandacht moet zijn voor de risico's die spelen in de afhankelijkheid van anderen. Dit noem je ketenrisico's. Ook moeten ze de hele organisatie in de risicoanalyse meenemen. Op basis van de risicobeoordeling nemen organisaties passende maatregelen om risico’s minder groot te maken en incidenten te voorkomen. 
  • Registratieplicht: Organisaties die vallen onder de Cyberbeveiligingswet zijn verplicht zich te registreren. Er komt een centraal registratieportaal.    
  • Meldplicht: Belangrijke incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder en het aangewezen Computer Security Incident Response Team (CSIRT). Ze moeten een incident melden als bijvoorbeeld een bepaald aantal personen door de verstoring is geraakt, de verstoring een bepaalde tijd heeft geduurd en er mogelijke financiële verliezen zijn. Het staat nog niet vast aan welke eisen een incident moet voldoen om gemeld te moeten worden.
  • Ondersteuning: Volgens de NIS2-richtlijn moet een Computer Security Incident Response Team (CSIRT) essentiële en belangrijke organisaties ondersteunen met advies en bijstand. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
  • Bestuurlijke aansprakelijkheid: Bestuurders van essentiële en belangrijke organisaties zijn aansprakelijk voor het beleid van hun organisatie. Zij hebben ook een opleidingsplicht. Bestuursleden worden hoofdelijk aansprakelijk als ze de regels niet naleven. Dat betekent dat ze hier als individu op aangesproken kunnen worden. Deze verantwoordelijkheden worden op dit moment verder uitgewerkt.
  • Toezicht: Namens het ministerie van Infrastructuur en Waterstaat speelt de Inspectie Leefomgeving en Transport (ILT) een sleutelrol in het toezicht op de naleving van de NIS2-richtlijn. De toezichthouder controleert of de zorgplicht, registratieplicht en meldplicht worden nageleefd. Dit toezicht is risico-gestuurd. De toezichthouder houdt er dus rekening mee dat elke organisatie te maken heeft met risico’s.

Implementatie in Nederland vertraagd

De NIS2- en CER-richtlijn zijn sinds 17 oktober 2024 geldig in de Europese Unie. In Nederland is het niet gelukt om deze EU-richtlijnen op tijd om te zetten in nationale wetgeving. De verwachting is dat de nationale wetten, de Cyberbeveiligingswet (Cbw/NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke/CER), in het derde kwartaal van 2025 in werking treden. Tot de wetten in werking zijn getreden hoeven organisaties zich niet aan de verplichtingen uit de richtlijn te houden. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn.

Zie ook Implementatie NIS2 en CER in Nederland vertraagd, wat betekent dat voor u?

Heb je vragen?

Kijk bij onze veelgestelde vragen of stuur je vraag naar cernis@minienw.nl.