Veelgestelde vragen

Naar verwachting zullen de wetten in het derde kwartaal van 2025 in werking treden, nadat deze door het parlement zijn behandeld. De NIS2-richtlijn wordt omgezet in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke). De organisaties die onder de Cyberbeveiligingswet (NIS2) vallen moeten vanaf dat moment aan de regelgeving voldoen.

De planning ziet er als volgt uit:

• De resultaten van de internetconsultatie van de conceptwetten (Cbw en Wwke) worden in december 2024 gepubliceerd en waar mogelijk verwerkt in de wetsvoorstellen.

• De wetsteksten van de Wwke (CER) en de Cbw (NIS2) worden gedetailleerder uitgewerkt in een Algemene Maatregel van Bestuur (AmvB). Ook voor de AMvB’s van beide richtlijnen vindt een internetconsultatie plaats gedurende 6 weken. Deze consultatie start in januari 2025.

• Daarna stelt het ministerie van Infrastructuur en Waterstaat (IenW) sectorspecifieke regelgeving op in de vorm van een Ministeriële regeling.

• Vanaf 2025 zullen ministeries per sector organisaties aanwijzen die onder de Wet weerbaarheid kritieke entiteiten (CER) vallen. Wanneer IenW een organisatie in de sector aanwijst als kritieke entiteit, ontvangt deze organisatie hierover bericht. Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.

De Tweede Kamer is eerder dit jaar geïnformeerd over de status van het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke). De verwachting is dat beide wetten in het derde kwartaal van 2025 van kracht worden. 

Tot de Nederlandse wetten in werking zijn getreden hoeven organisaties zich niet aan de verplichtingen uit de richtlijn te houden. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn.

Zie ook Implementatie NIS2 en CER in Nederland vertraagd, wat betekent dat voor u?

De NIS2 en de CER zijn EU-richtlijnen die in alle EU-lidstaten in samenhang worden geïmplementeerd. Beide richtlijnen zijn gericht op het weerbaar zijn van organisaties (organisational resilience). In Nederland worden deze richtlijnen omgezet in twee aparte wetten die gelijktijdig in consultatie gaan en gelijktijdig naar de Tweede Kamer worden gestuurd. Het toezicht op beide wetten vindt zoveel mogelijk in afstemming plaats.

Voor de NIS2 geldt dat je er automatisch onder valt als je aan de in de richtlijn beschreven criteria voldoet. Voor de CER worden organisaties door de verantwoordelijke ministeries aangewezen als kritieke entiteit. Organisaties die als kritieke entiteit worden aangewezen onder de CER zijn ook automatisch essentieel onder de NIS2, hoe klein de organisatie ook is. Andersom is dit verband er niet.

Er wordt een centraal registratiepunt ontwikkeld bij het NCSC waar je je organisatie kunt registreren. Bij de registratie wordt in ieder geval om de volgende gegevens gevraagd:

• de naam van de organisatie;
• de relevante sector, subsector en soort organisatie (zie ook bijlage I of II);
• het adres van de hoofdvestiging van de organisatie en andere wettelijke vestigingen in de Europese Unie;
• actuele contactgegevens;
• de lidstaten waar de organisatie diensten verleent;
• de IP-bereiken van de organisatie.

Zodra er meer bekend is, word je op deze website geïnformeerd.

Ja, iedere organisatie die onder de Cbw komt te vallen moet zich registreren, ook organisaties die nu al met de Wbni te maken hebben. Bij de registratie kun je aangeven voor welke sector je je registreert. Je kunt hier ook meerdere sectoren aangeven als je onder meer dan één sector valt.

Hoe de zorgplicht eruit gaat zien wordt nog nader ingevuld. In hoeverre je voldoet aan de zorgplicht hangt af van het individuele geval. Er kunnen bovenop bestaande standaarden en normen ook sectorspecifieke voorschriften gaan gelden. Op basis van jouw risicoanalyse kom je tot afwegingen en maatregelen. Het gebruik van standaarden op informatie- en/of operationele technologie helpt daarbij. Ook het hebben van een certificering op dit soort standaarden kan bijdragen aan het voldoen aan de zorgplicht.

Ja, gemeenschappelijke regelingen komen ook onder NIS2 te vallen onder de sector overheid.

De NIS2 gaat over cyberweerbaarheid en een zorgplicht waarbij je maatregelen neemt die jouw netwerk en informatiesystemen beschermen ten behoeve van de continuïteit van je bedrijfsprocessen. Dit is ook van toepassing voor de toeleveranciersketen.

Het toezicht van de Inspectie Leefomgeving en Transport (ILT) richt zich op de essentiële of belangrijke entiteit. In hoeverre een verstoring bij een toeleverancier impact heeft of een verstoring kan opleveren voor je netwerk, informatiesystemen en/of bedrijfsprocessen, moet zijn opgenomen in het information security management system (ISMS) met voldoende maatregelen.
 

De ministeries stellen drempelwaarden vast. Denk bij een drempelwaarde bijvoorbeeld aan de tijdsduur dat een proces verstoord is door een incident, of de (economische) schade die het incident aanricht. Organisaties zijn verplicht incidenten te melden die aan deze drempelwaarden voldoen. De richtlijn verplicht organisaties de melding te doen bij zowel de toezichthouder als de CSIRT (Computer Security Incident Response Team). Er wordt gewerkt aan een centraal meldpunt om het melden te ondersteunen en de administratieve belasting voor organisaties klein te houden. Zodra er meer bekend is, worden organisaties geïnformeerd op deze website.

Wie de toezichthouder wordt is nog niet voor alle sectoren bekend. Voor de sectoren van het ministerie van Infrastructuur en Waterstaat (IenW) zal in de meeste gevallen de Inspectie Leefomgeving en Transport (ILT) toezicht houden.

De afdeling Toezicht Cybersecurity van de ILT voert in eerst instantie proactief reguliere inspecties uit bij essentiële organisaties. Bij belangrijke organisaties zal reactief toegezien worden op meldingen dan wel op signalen. Een eerste inspectie bij een essentiële organisaties is een verkennende inspectie. Hierbij wordt kennisgemaakt en gekeken naar de opzet van het information security management system (ISMS). De volgende keer voert de ILT een verdiepende inspectie uit naar het bestaan en de werking van het managementsysteem voor cybersecurity (CSMS/ISMS). De ILT kijkt naar de opzet, bestaan en werking van het CSMS/ISMS. Vervolgthema’s voor de inspectie worden risicogericht geselecteerd, bijvoorbeeld detectie & respons.

Toezichthouders zijn op grond van de NIS2 verplicht om zoveel mogelijk onderling gecoördineerd toezicht te houden op essentiële organisaties en belangrijke organisaties. Hiermee wordt tot uitdrukking gebracht dat toezicht op de naleving van deze wet zoveel mogelijk in samenhang en op consistente wijze plaatsvindt. Er moeten in het geval van overlap samenwerkingsafspraken worden gemaakt, bijvoorbeeld over welk toezicht prevaleert. Ditzelfde geldt voor overlap met sectorale toezichthouders. Er is voor het opzetten van een goede samenwerking al veel contact tussen bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT), Rijksinspectie Digitale Infrastructuur (RDI) en andere toezichthouders.

Voor verschillende wetten is eigen toezicht geregeld. Dat betekent dat de toezichthouder controleert of een organisatie zich houdt aan de eisen uit die specifieke wet. Organisaties hebben met verschillende wetten te maken met voor iedere wet eisen waarop toezicht is gebaseerd. Momenteel is het toezicht op de cyberweerbaarheid nog niet verweven met specifieke wetgeving en is er sprake van een vrijstaande (losse) inspectie naast de inspecties die al worden uitgevoerd. Dit betekent in veel gevallen dat er sprake is van verschillende toezichthouders. Zij zullen hun inspecties afstemmen. Het streven is om de toezichtlast te beperken. Essentiële organisaties vallen in de NIS2 onder één of meer sectoren. Ook in dat geval is er afstemming met collega’s die op de naleving toezichthouden

Organisaties die behoren tot de sectoren waarvoor de NIS2 geldt en diensten aanbieden in de Europese Unie, maar hier niet zijn gevestigd, zijn verplicht om een vertegenwoordiger in de EU aan te wijzen. Als zij een vertegenwoordiger in Nederland aanwijzen, dan vallen zij onder Nederlandse jurisdictie. Dit betekent dat ze te maken krijgen met een Nederlandse toezichthouder, bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT).

Volgens de richtlijn moeten organisaties elk incident dat grote gevolgen heeft voor de verlening van hun diensten (significant incident) melden. Een incident is significant als het een ernstige operationele verstoring van de diensten veroorzaakt, als het leidt tot grote financiële verliezen of als andere organisaties er ernstig door worden getroffen. In de drempelwaarden wordt in meer detail vastgelegd wat als significant incident wordt gezien.

De eerste melding van een significant incident moet worden gedaan binnen 24 uur nadat het incident heeft plaatsgevonden.

Ondernemingen die afvalstoffenbeheer uitvoeren zoals staat in artikel 3, punt 9, van Richtlijn 2008/98/EG(29), met uitzondering van ondernemingen waarvoor afvalstoffenbeheer niet de voornaamste economische activiteit is. Het gaat dan om ondernemingen die zich bezig houden met inzameling, vervoer, nuttige toepassing en verwijdering van afvalstoffen, toezicht houden op die handelingen en de nazorg doen voor de stortplaatsen na sluiting, en ook alles wat  handelaars of makelaars hierbij doen.

De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de sector afvalstoffenbeheer.

Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de sector afvalstoffenbeheer.

De NIS2 richtlijn omschrijft de chemische sector als volgt: “Ondernemingen die stoffen vervaardigen en stoffen of mengsels distribueren als bedoeld in artikel 3, punten 9 en 14, van Verordening (EG) nr. 1907/2006 van het Europees Parlement en de Raad en ondernemingen die voorwerpen zoals gedefinieerd in artikel 3, punt 3, van die verordening produceren uit stoffen of mengsels.” In de praktijk betekent dit dat ondernemingen die werkzaam zijn in de productie, opslag of distributie van chemische stoffen tot de sector behoren. 

De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de chemische sector.

Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de chemische sector.

Tot de sector luchtvaart behoren de volgende organisaties:

• Luchtvaartmaatschappijen zoals staat in artikel 3, punt 4, Verordening (EG) nr. 300/2008 die voor commerciële doeleinden worden gebruikt;
• Luchthavenbeheerders zoals staat in artikel 2, punt 2, van Richtlijn 2009/12/EG van het Europees Parlement en de Raad (6), luchthavens zoals staat in artikel 2, punt 1, van die richtlijn, met daarbij ook de kernluchthavens die in bijlage II, afdeling 2, bij Verordening (EU) 1315/2013 van het Europees Parlement en de Raad (7) staan, en ook de organisaties die installaties bedienen die je op luchthavens vindt;
• Exploitanten op het gebied van verkeersbeheer en -controle die luchtverkeersleidingsdiensten zoals staat in artikel 2, punt 1, van Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad (8) aanbieden.

De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de sector luchtvaart.

Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de sector luchtvaart.

Tot de maritieme sector behoren de volgende organisaties:

• Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht, met uitzondering van de individuele vaartuigen die deze bedrijven exploiteren;
• Beheerders van havens, inclusief hun havenfaciliteiten; en organisaties die in havens werken en uitrusting daar beheren;
• Exploitanten van verkeersbegeleidingssystemen (VBS).

De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn voor de maritieme sector.

Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de maritieme sector.

Tot de spoorsector behoren de volgende organisaties:

• Infrastructuurbeheerders zoals staat in artikel 3, punt 2, van Richtlijn 2012/34/EU van het Europees Parlement en de Raad;
• Spoorwegondernemingen zoals staat in artikel 3, punt 1 van Richtlijn 2012/34/EU, inclusief exploitanten van dienstvoorzieningen zoals staat in artikel 3, punt 12, van die richtlijn.

De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de spoorsector.

Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de spoorsector.

De sector water bestaat uit drinkwater en afvalwater.

• Drinkwater: organisaties die in de sector drinkwater vallen zijn de drinkwaterbedrijven.
• Afvalwater: ondernemingen die stedelijk, huishoudelijk of industrieel afvalwater als bedoeld in artikel 2, onderdelen 1, 2 en 3, van Richtlijn 91/271/EEG19 van de Raad opvangen, lozen of behandelen van stedelijk, huishoudelijk of industrieel afvalwater een niet-essentieel onderdeel van hun algemene activiteit is.

In principe is de Inspectie Leefomgeving en Transport (ILT) de toezichthouder voor de sector water. Aangezien een aantal van de afvalwaterverwerkers als overheidsorganisaties onder NIS2 vallen, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe dit toezicht in de praktijk vorm krijgt zodat toezichthouders zoveel mogelijk samen kunnen werken. 

Voor de drinkwaterbedrijven is de CSIRT-functie belegd bij het Nationaal Cyber Security Center (NCSC). Voor de waterschappen is de CSIRT-functie belegd bij het CERT-Watermanagement (CERT-WM). Andere organisaties die vallen onder afvalwater zullen ondersteuning krijgen van het NCSC. 

De NIS2-richtlijn beschrijft twee soorten organisaties die onder de sector wegvervoer vallen: wegenautoriteiten en ITS-aanbieders (aanbieders van intelligente transportsystemen).

• De NIS2-richtlijn omschrijft wegenautoriteiten als volgt: “Wegenautoriteiten zoals gedefinieerd in artikel 2, punt 12, van gedelegeerde Verordening (EU) 2015/962 van de Commissie die verantwoordelijk zijn voor het verkeersbeheer, met uitzondering van overheidsinstanties waarvoor verkeersbeheer of de exploitatie van intelligente vervoerssystemen slechts een niet-essentieel onderdeel van hun algemene activiteit is.” In de praktijk zijn dit in Nederland alle overheden die verantwoordelijk zijn voor het beheer van een deel van het wegennetwerk. 
• De NIS2-richtlijn omschrijft ITS-aanbieders als volgt: “Exploitanten van intelligente vervoerssystemen zoals gedefinieerd in artikel 4, punt 1, van Richtlijn 2010/40/EU van het Europees Parlement en de Raad.” Dit gaat om een grote verscheidenheid aan organisaties die onder de ITS-richtlijn onderdeel zijn van de dataketen en die een ITS-dienst of -product beschikbaar stellen dat bijdraagt aan de veiligheid, de efficiëntie en het comfort van de gebruikers en/of om vervoers- en reisdiensten te faciliteren of ondersteunen.

In principe is de Inspectie Leefomgeving en Transport (ILT) de toezichthouder voor de sector wegvervoer. Aangezien wegbeheerders vaak ook als overheidsorganisaties onder NIS2 vallen, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe dit toezicht in de praktijk vorm krijgt zodat toezichthouders zoveel mogelijk samen kunnen werken. 

In principe is het Nationaal Cyber Security Center (NCSC) het CSIRT voor de sector wegvervoer. Aangezien wegbeheerders vaak ook overheidsorganisaties zijn, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe de ondersteuning voor de medeoverheden wordt vormgegeven. Iedere organisatie wordt ondersteund door maximaal één CSIRT, ook als zij onder meerdere sectoren vallen.