Veelgestelde vragen

Naar verwachting zullen de wetten in het derde kwartaal van 2025 in werking treden, nadat deze door het parlement zijn behandeld. De NIS2-richtlijn wordt omgezet in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke). De organisaties die onder de Cyberbeveiligingswet (NIS2) vallen moeten vanaf dat moment aan de regelgeving voldoen.

De planning ziet er als volgt uit:

• De resultaten van de internetconsultatie van de conceptwetten (Cbw en Wwke) worden in december 2024 gepubliceerd en waar mogelijk verwerkt in de wetsvoorstellen.

• De wetsteksten van de Wwke (CER) en de Cbw (NIS2) worden gedetailleerder uitgewerkt in een Algemene Maatregel van Bestuur (AmvB). Ook voor de AMvB’s van beide richtlijnen vindt een internetconsultatie plaats gedurende 6 weken. Deze consultatie start in januari 2025.

• Daarna stelt het ministerie van Infrastructuur en Waterstaat (IenW) sectorspecifieke regelgeving op in de vorm van een Ministeriële regeling.

• Vanaf 2025 zullen ministeries per sector organisaties aanwijzen die onder de Wet weerbaarheid kritieke entiteiten (CER) vallen. Wanneer IenW een organisatie in de sector aanwijst als kritieke entiteit, ontvangt deze organisatie hierover bericht. Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.

De Tweede Kamer is eerder dit jaar geïnformeerd over de status van het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke). De verwachting is dat beide wetten in het derde kwartaal van 2025 van kracht worden

De NIS2 en de CER zijn EU-richtlijnen die in alle EU-lidstaten in samenhang worden geïmplementeerd. Beide richtlijnen zijn gericht op het weerbaar zijn van organisaties (organisational resilience). In Nederland worden deze richtlijnen omgezet in twee aparte wetten die gelijktijdig in consultatie gaan en gelijktijdig naar de Tweede Kamer worden gestuurd. Het toezicht op beide wetten vindt zoveel mogelijk in afstemming plaats.

Voor de NIS2 geldt dat je er automatisch onder valt als je aan de in de richtlijn beschreven criteria voldoet. Voor de CER worden organisaties door de verantwoordelijke ministeries aangewezen als kritieke entiteit. Organisaties die als kritieke entiteit worden aangewezen onder de CER zijn ook automatisch essentieel onder de NIS2, hoe klein de organisatie ook is. Andersom is dit verband er niet.

Er wordt een centraal registratiepunt ontwikkeld waar je je organisatie kunt registreren. Bij de registratie wordt in ieder geval om de volgende gegevens gevraagd:

• de naam van de organisatie;
• de relevante sector, subsector en soort organisatie (zie ook bijlage I of II);
• het adres van de hoofdvestiging van de organisatie en andere wettelijke vestigingen in de Europese Unie;
• actuele contactgegevens;
• de lidstaten waar de organisatie diensten verleent;
• de IP-bereiken van de organisatie.

Zodra er meer bekend is, word je op deze website geïnformeerd.

Ja, je moet je registreren in elk land waar de NIS2 geldt en waar je aan de criteria voldoet. Bij de registratie geef je aan of je in meerdere landen onder de NIS2 valt. Je valt dan ook onder het toezicht van het andere land; dat land zal zelf het toezicht moeten inrichten. Er is een uitzondering voor organisaties die vallen onder Domain Name System (DNS) dienstverleners.

Hoe de zorgplicht eruit gaat zien wordt nog nader ingevuld. In hoeverre je voldoet aan de zorgplicht hangt af van het individuele geval. Er kunnen bovenop bestaande standaarden en normen ook sectorspecifieke voorschriften gaan gelden. Op basis van jouw risicoanalyse kom je tot afwegingen en maatregelen. Het gebruik van standaarden op informatie- en/of operationele technologie helpt daarbij. Ook het hebben van een certificering op dit soort standaarden kan bijdragen aan het voldoen aan de zorgplicht.

Ja, gemeenschappelijke regelingen komen ook onder NIS2 te vallen onder de sector overheid.

De NIS2 gaat over cyberweerbaarheid en een zorgplicht waarbij je maatregelen neemt die jouw netwerk en informatiesystemen beschermen ten behoeve van de continuïteit van je bedrijfsprocessen. Dit is ook van toepassing voor de toeleveranciersketen.

Het toezicht van de Inspectie Leefomgeving en Transport (ILT) richt zich op de essentiële of belangrijke entiteit. In hoeverre een verstoring bij een toeleverancier impact heeft of een verstoring kan opleveren voor je netwerk, informatiesystemen en/of bedrijfsprocessen, moet zijn opgenomen in het information security management system (ISMS) met voldoende maatregelen.
 

De ministeries stellen drempelwaarden vast. Denk bij een drempelwaarde bijvoorbeeld aan de tijdsduur dat een proces verstoord is door een incident, of de (economische) schade die het incident aanricht. Organisaties zijn verplicht incidenten te melden die aan deze drempelwaarden voldoen. De richtlijn verplicht organisaties de melding te doen bij zowel de toezichthouder als de CSIRT (Computer Security Incident Response Team). Er wordt gewerkt aan een centraal meldpunt om het melden te ondersteunen en de administratieve belasting voor organisaties klein te houden. Zodra er meer bekend is, worden organisaties geïnformeerd op deze website.

Wie de toezichthouder wordt is nog niet voor alle sectoren bekend. Voor de sectoren van het ministerie van Infrastructuur en Waterstaat (IenW) zal in de meeste gevallen de Inspectie Leefomgeving en Transport (ILT) toezicht houden.

De afdeling Toezicht Cybersecurity van de ILT voert in eerst instantie proactief reguliere inspecties uit bij essentiële organisaties. Bij belangrijke organisaties zal reactief toegezien worden op meldingen dan wel op signalen. Een eerste inspectie bij een essentiële organisaties is een verkennende inspectie. Hierbij wordt kennisgemaakt en gekeken naar de opzet van het information security management system (ISMS). De volgende keer voert de ILT een verdiepende inspectie uit naar het bestaan en de werking van het managementsysteem voor cybersecurity (CSMS/ISMS). De ILT kijkt naar de opzet, bestaan en werking van het CSMS/ISMS. Vervolgthema’s voor de inspectie worden risicogericht geselecteerd, bijvoorbeeld detectie & respons.

Toezichthouders zijn op grond van de NIS2 verplicht om zoveel mogelijk onderling gecoördineerd toezicht te houden op essentiële organisaties en belangrijke organisaties. Hiermee wordt tot uitdrukking gebracht dat toezicht op de naleving van deze wet zoveel mogelijk in samenhang en op consistente wijze plaatsvindt. Er moeten in het geval van overlap samenwerkingsafspraken worden gemaakt, bijvoorbeeld over welk toezicht prevaleert. Ditzelfde geldt voor overlap met sectorale toezichthouders. Er is voor het opzetten van een goede samenwerking al veel contact tussen bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT), Rijksinspectie Digitale Infrastructuur (RDI) en andere toezichthouders.

Voor verschillende wetten is eigen toezicht geregeld. Dat betekent dat de toezichthouder controleert of een organisatie zich houdt aan de eisen uit die specifieke wet. Organisaties hebben met verschillende wetten te maken met voor iedere wet eisen waarop toezicht is gebaseerd. Momenteel is het toezicht op de cyberweerbaarheid nog niet verweven met specifieke wetgeving en is er sprake van een vrijstaande (losse) inspectie naast de inspecties die al worden uitgevoerd. Dit betekent in veel gevallen dat er sprake is van verschillende toezichthouders. Zij zullen hun inspecties afstemmen. Het streven is om de toezichtlast te beperken. Essentiële organisaties vallen in de NIS2 onder één of meer sectoren. Ook in dat geval is er afstemming met collega’s die op de naleving toezichthouden

Organisaties die behoren tot de sectoren waarvoor de NIS2 geldt en diensten aanbieden in de Europese Unie, maar hier niet zijn gevestigd, zijn verplicht om een vertegenwoordiger in de EU aan te wijzen. Als zij een vertegenwoordiger in Nederland aanwijzen, dan vallen zij onder Nederlandse jurisdictie. Dit betekent dat ze te maken krijgen met een Nederlandse toezichthouder, bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT).