Veelgestelde vragen

Hieronder lees je antwoorden op de meestgestelde vragen. Staat je vraag hier nog niet bij? Neem dan contact met cernis@minienw.nl.

Algemeen

De planning voor de implementatie van de Cyberbeveiligingswet (Cbw/NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke/CER) ziet er als volgt uit:

De ontwerpwetten en -memories van toelichting zijn begin december voor advies naar de Raad van State gestuurd. De wetten zijn hier in te zien:
- Cyberbeveiligingswet - Documenten bij Cyberbeveiligingswet
- Wet weerbaarheid kritieke entiteiten - Documenten bij Wet weerbaarheid kritieke entiteiten
De wetsteksten van de Cbw (NIS2) en de Wwke (CER) worden gedetailleerder uitgewerkt in een Algemene Maatregel van Bestuur (AMvB). De internetconsultatie van deze AMvB’s vindt plaats van 21 februari tot 30 maart 2025. Zie ook:
- https://www.internetconsultatie.nl/cyberbeveiligingsbesluit/b1
- https://www.internetconsultatie.nl/weerbaarheidkritiekeentiteiten/b1
Daarna stelt het ministerie van Infrastructuur en Waterstaat (IenW) sectorspecifieke regelgeving op in de vorm van een Ministeriële regeling. Om organisaties alvast meer inzicht te geven in de benodigde beveiligingsmaatregelen is de paragraaf over de zorgplicht alvast uitgewerkt: https://www.internetconsultatie.nl/cyberbeveiligingsbesluit/b1. De ministeriële regeling in z’n geheel gaat op een later moment in consultatie. Dan zijn ook sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van een incident.
Vanaf 2025 zullen ministeries per sector organisaties aanwijzen die onder de Wet weerbaarheid kritieke entiteiten (CER) vallen. Wanneer IenW een organisatie in de sector aanwijst als kritieke entiteit, ontvangt deze organisatie hierover bericht. Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.
Na ontvangst en verwerking van het advies van de Raad van State gaan de wetten naar de Tweede Kamer, naar verwachting in het eerste kwartaal van 2025. Het streven is dat de wetten in het derde kwartaal van 2025 in werking treden. Dit is ook afhankelijk van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer.

De Tweede Kamer is eerder dit jaar geïnformeerd over de status van het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke). De verwachting is dat beide wetten in het derde kwartaal van 2025 van kracht worden.

Tot de Nederlandse wetten in werking zijn getreden hoeven organisaties zich niet aan de verplichtingen uit de richtlijn te houden. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn.

Zie ook Implementatie NIS2 en CER in Nederland vertraagd, wat betekent dat voor u?

De NIS2 en de CER zijn EU-richtlijnen die in alle EU-lidstaten in samenhang worden geïmplementeerd. Beide richtlijnen zijn gericht op het weerbaar zijn van organisaties (organisational resilience). In Nederland worden deze richtlijnen omgezet in twee aparte wetten die gelijktijdig in consultatie gaan en gelijktijdig naar de Tweede Kamer worden gestuurd. Het toezicht op beide wetten vindt zoveel mogelijk in afstemming plaats.

Voor de NIS2 geldt dat je er automatisch onder valt als je aan de in de richtlijn beschreven criteria voldoet. Voor de CER worden organisaties door de verantwoordelijke ministeries aangewezen als kritieke entiteit. Organisaties die als kritieke entiteit worden aangewezen onder de CER zijn ook automatisch essentieel onder de NIS2, hoe klein de organisatie ook is. Andersom is dit verband er niet.

Er wordt gewerkt aan een centraal registratiepunt waar je je organisatie kunt registreren. Bij de registratie zijn in ieder geval de volgende gegevens nodig:

de naam van de organisatie;
de relevante sector, subsector en soort organisatie (zie ook bijlage I of II);
het adres van de hoofdvestiging van de organisatie en andere wettelijke vestigingen in de Europese Unie;
actuele contactgegevens;
de lidstaten waar de organisatie diensten verleent;
de IP-bereiken van de organisatie.

Meer informatie over de registratieplicht: Registratieplicht | Over het NCSC | Nationaal Cyber Security Centrum

Checklist voor de NIS2-registratie: Checklist NIS2-registratie | Publicatie | Nationaal Cyber Security Centrum

Hoe de zorgplicht eruit gaat zien wordt nog nader ingevuld. In hoeverre je voldoet aan de zorgplicht hangt af van het individuele geval. Er kunnen bovenop bestaande standaarden en normen ook sectorspecifieke voorschriften gaan gelden. Op basis van jouw risicoanalyse kom je tot afwegingen en maatregelen. Het gebruik van standaarden op informatie- en/of operationele technologie helpt daarbij. Ook het hebben van een certificering op dit soort standaarden kan bijdragen aan het voldoen aan de zorgplicht.

De NIS2 gaat over cyberweerbaarheid en een zorgplicht waarbij je maatregelen neemt die jouw netwerk en informatiesystemen beschermen ten behoeve van de continuïteit van je bedrijfsprocessen. Dit is ook van toepassing voor de toeleveranciersketen.

Het toezicht van de Inspectie Leefomgeving en Transport (ILT) richt zich op de essentiële of belangrijke entiteit. In hoeverre een verstoring bij een toeleverancier impact heeft of een verstoring kan opleveren voor je netwerk, informatiesystemen en/of bedrijfsprocessen, moet zijn opgenomen in het information security management system (ISMS) met voldoende maatregelen.

De ministeries stellen drempelwaarden vast. Denk bij een drempelwaarde bijvoorbeeld aan de tijdsduur dat een proces verstoord is door een incident, of de (economische) schade die het incident aanricht. Organisaties zijn verplicht incidenten te melden die aan deze drempelwaarden voldoen. De richtlijn verplicht organisaties de melding te doen bij zowel de toezichthouder als de CSIRT (Computer Security Incident Response Team). Er wordt gewerkt aan een centraal meldpunt om het melden te ondersteunen en de administratieve belasting voor organisaties klein te houden. Zodra er meer bekend is, worden organisaties geïnformeerd op deze website.

Wie de toezichthouder wordt is nog niet voor alle sectoren bekend. Voor de sectoren van het ministerie van Infrastructuur en Waterstaat (IenW) zal in de meeste gevallen de Inspectie Leefomgeving en Transport (ILT) toezicht houden.

De afdeling Toezicht Cybersecurity van de ILT voert in eerst instantie proactief reguliere inspecties uit bij essentiële organisaties. Bij belangrijke organisaties zal reactief toegezien worden op meldingen dan wel op signalen. Een eerste inspectie bij een essentiële organisaties is een verkennende inspectie. Hierbij wordt kennisgemaakt en gekeken naar de opzet van het information security management system (ISMS). De volgende keer voert de ILT een verdiepende inspectie uit naar het bestaan en de werking van het managementsysteem voor cybersecurity (CSMS/ISMS). De ILT kijkt naar de opzet, bestaan en werking van het CSMS/ISMS. Vervolgthema’s voor de inspectie worden risicogericht geselecteerd, bijvoorbeeld detectie & respons.

Toezichthouders zijn op grond van de NIS2 verplicht om zoveel mogelijk onderling gecoördineerd toezicht te houden op essentiële organisaties en belangrijke organisaties. Hiermee wordt tot uitdrukking gebracht dat toezicht op de naleving van deze wet zoveel mogelijk in samenhang en op consistente wijze plaatsvindt. Er moeten in het geval van overlap samenwerkingsafspraken worden gemaakt, bijvoorbeeld over welk toezicht prevaleert. Ditzelfde geldt voor overlap met sectorale toezichthouders. Er is voor het opzetten van een goede samenwerking al veel contact tussen bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT), Rijksinspectie Digitale Infrastructuur (RDI) en andere toezichthouders.

Voor verschillende wetten is eigen toezicht geregeld. Dat betekent dat de toezichthouder controleert of een organisatie zich houdt aan de eisen uit die specifieke wet. Organisaties hebben met verschillende wetten te maken met voor iedere wet eisen waarop toezicht is gebaseerd. Momenteel is het toezicht op de cyberweerbaarheid nog niet verweven met specifieke wetgeving en is er sprake van een vrijstaande (losse) inspectie naast de inspecties die al worden uitgevoerd. Dit betekent in veel gevallen dat er sprake is van verschillende toezichthouders. Zij zullen hun inspecties afstemmen. Het streven is om de toezichtlast te beperken. Essentiële organisaties vallen in de NIS2 onder één of meer sectoren. Ook in dat geval is er afstemming met collega’s die op de naleving toezichthouden

Organisaties die behoren tot de sectoren waarvoor de NIS2 geldt en diensten aanbieden in de Europese Unie, maar hier niet zijn gevestigd, zijn verplicht om een vertegenwoordiger in de EU aan te wijzen. Als zij een vertegenwoordiger in Nederland aanwijzen, dan vallen zij onder Nederlandse jurisdictie. Dit betekent dat ze te maken krijgen met een Nederlandse toezichthouder, bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT).

Volgens de richtlijn moeten organisaties elk incident dat grote gevolgen heeft voor de verlening van hun diensten (significant incident) melden. Een incident is significant als het een ernstige operationele verstoring van de diensten veroorzaakt, als het leidt tot grote financiële verliezen of als andere organisaties er ernstig door worden getroffen. In de drempelwaarden wordt in meer detail vastgelegd wat als significant incident wordt gezien.

De eerste melding van een significant incident moet worden gedaan binnen 24 uur nadat het incident heeft plaatsgevonden.

Sector afvalstoffenbeheer

Ondernemingen die afvalstoffenbeheer uitvoeren zoals staat in artikel 3, punt 9, van Richtlijn 2008/98/EG(29), met uitzondering van ondernemingen waarvoor afvalstoffenbeheer niet de voornaamste economische activiteit is. Het gaat dan om ondernemingen die zich bezig houden met inzameling, vervoer, nuttige toepassing en verwijdering van afvalstoffen, toezicht houden op die handelingen en de nazorg doen voor de stortplaatsen na sluiting, en ook alles wat handelaars of makelaars hierbij doen.

Sector chemische industrie

De NIS2 richtlijn omschrijft de chemische sector als volgt: “Ondernemingen die stoffen vervaardigen en stoffen of mengsels distribueren als bedoeld in artikel 3, punten 9 en 14, van Verordening (EG) nr. 1907/2006 van het Europees Parlement en de Raad en ondernemingen die voorwerpen zoals gedefinieerd in artikel 3, punt 3, van die verordening produceren uit stoffen of mengsels.” In de praktijk betekent dit dat ondernemingen die werkzaam zijn in de productie, opslag of distributie van chemische stoffen tot de sector behoren.

Sector luchtvaart

Tot de sector luchtvaart behoren de volgende organisaties:

Luchtvaartmaatschappijen zoals staat in artikel 3, punt 4, Verordening (EG) nr. 300/2008 die voor commerciële doeleinden worden gebruikt;
Luchthavenbeheerders zoals staat in artikel 2, punt 2, van Richtlijn 2009/12/EG van het Europees Parlement en de Raad (6), luchthavens zoals staat in artikel 2, punt 1, van die richtlijn, met daarbij ook de kernluchthavens die in bijlage II, afdeling 2, bij Verordening (EU) 1315/2013 van het Europees Parlement en de Raad (7) staan, en ook de organisaties die installaties bedienen die je op luchthavens vindt;
Exploitanten op het gebied van verkeersbeheer en -controle die luchtverkeersleidingsdiensten zoals staat in artikel 2, punt 1, van Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad (8) aanbieden.

Sector scheepvaart

Tot de maritieme sector behoren de volgende organisaties:

Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht, met uitzondering van de individuele vaartuigen die deze bedrijven exploiteren;
Beheerders van havens, inclusief hun havenfaciliteiten; en organisaties die in havens werken en uitrusting daar beheren;
Exploitanten van verkeersbegeleidingssystemen (VBS).

Sector spoorvervoer

Tot de spoorsector behoren de volgende organisaties:

Infrastructuurbeheerders zoals staat in artikel 3, punt 2, van Richtlijn 2012/34/EU van het Europees Parlement en de Raad;
Spoorwegondernemingen zoals staat in artikel 3, punt 1 van Richtlijn 2012/34/EU, inclusief exploitanten van dienstvoorzieningen zoals staat in artikel 3, punt 12, van die richtlijn.

Sector water

De sector water bestaat uit drinkwater en afvalwater.

Drinkwater: organisaties die in de sector drinkwater vallen zijn de drinkwaterbedrijven.
Afvalwater: ondernemingen die stedelijk, huishoudelijk of industrieel afvalwater als bedoeld in artikel 2, onderdelen 1, 2 en 3, van Richtlijn 91/271/EEG19 van de Raad opvangen, lozen of behandelen van stedelijk, huishoudelijk of industrieel afvalwater een niet-essentieel onderdeel van hun algemene activiteit is.

In principe is de Inspectie Leefomgeving en Transport (ILT) de toezichthouder voor de sector water. Aangezien een aantal van de afvalwaterverwerkers als overheidsorganisaties onder NIS2 vallen, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe dit toezicht in de praktijk vorm krijgt zodat toezichthouders zoveel mogelijk samen kunnen werken.

Sector wegvervoer

De NIS2-richtlijn beschrijft twee soorten organisaties die onder de sector wegvervoer vallen: wegenautoriteiten en ITS-aanbieders (aanbieders van intelligente transportsystemen).

De NIS2-richtlijn omschrijft wegenautoriteiten als volgt: “Wegenautoriteiten zoals gedefinieerd in artikel 2, punt 12, van gedelegeerde Verordening (EU) 2015/962 van de Commissie die verantwoordelijk zijn voor het verkeersbeheer, met uitzondering van overheidsinstanties waarvoor verkeersbeheer of de exploitatie van intelligente vervoerssystemen slechts een niet-essentieel onderdeel van hun algemene activiteit is.” In de praktijk zijn dit in Nederland alle overheden die verantwoordelijk zijn voor het beheer van een deel van het wegennetwerk.
De NIS2-richtlijn omschrijft ITS-aanbieders als volgt: “Exploitanten van intelligente vervoerssystemen zoals gedefinieerd in artikel 4, punt 1, van Richtlijn 2010/40/EU van het Europees Parlement en de Raad.” Dit gaat om een grote verscheidenheid aan organisaties die onder de ITS-richtlijn onderdeel zijn van de dataketen en die een ITS-dienst of -product beschikbaar stellen dat bijdraagt aan de veiligheid, de efficiëntie en het comfort van de gebruikers en/of om vervoers- en reisdiensten te faciliteren of ondersteunen.

In principe is de Inspectie Leefomgeving en Transport (ILT) de toezichthouder voor de sector wegvervoer. Aangezien wegbeheerders vaak ook als overheidsorganisaties onder NIS2 vallen, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe dit toezicht in de praktijk vorm krijgt zodat toezichthouders zoveel mogelijk samen kunnen werken.

In principe is het Nationaal Cyber Security Center (NCSC) het CSIRT voor de sector wegvervoer. Aangezien wegbeheerders vaak ook overheidsorganisaties zijn, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe de ondersteuning voor de medeoverheden wordt vormgegeven. Iedere organisatie wordt ondersteund door maximaal één CSIRT, ook als zij onder meerdere sectoren vallen.

De Cyberbeveiligingswet (Cbw/NIS) gaat ook gelden voor exploitanten van intelligente vervoerssystemen. De ITS-richtlijn definieert intelligente vervoerssystemen als: systemen waarin informatie- en communicatietechnologie wordt toegepast, op het gebied van het wegvervoer, met inbegrip van infrastructuur, voertuigen en gebruikers, en in het verkeers- en mobiliteitsbeheer, alsook voor interfaces met andere vervoerswijzen.

Of je organisatie onder de Cyberbeveiligingswet valt hangt af van de sector waarin je actief bent en de grootte van je organisatie. Onderstaande vragen helpen om te bepalen of een exploitant van intelligente vervoerssystemen zich aan de Cyberbeveiligingswet moet houden.

Sector

Levert je organisatie bepaalde activiteiten of diensten met data zoals beschreven in de ITS-richtlijn in Annex I en/of III? Het gaat er om dat je organisatie deze data verzamelt, aggregeert, verrijkt en doorgeleidt.

Is het antwoord ja, dan is je organisatie actief in een sector die onder de Cyberbeveiligingswet valt.

Grootte

Voldoet je organisaties aan één of meerdere van de onderstaande criteria:
1. Zijn er 50 personen of meer werkzaam bij je organisatie?
2. Is de jaaromzet 10 miljoen euro of hoger?
3. Is het jaarlijkse balanstotaal 10 miljoen euro of hoger?

Als je aan één of meer van deze criteria voldoet, moet je organisatie zich aan de Cyberbeveiligingswet houden. Kijk hier hoe je je daar op kunt voorbereiden.

Uitzondering

Als je organisatie de data alleen gebruikt voor de organisatie zelf, of een afgeschermd deel van de data alleen verstrekt aan afnemers van een andere dienst (zoals fleetmanagement of logistiek), dan val je niet onder de sector ITS-dienstaanbieders en is de Cyberbeveiligingswet niet van toepassing. Het kan zijn dat je organisatie actief is binnen meerdere sectoren. Check hier of je onder één van de andere sectoren valt.

Je kunt ook deze vragenlijst invullen: NIS2 Zelfevaluatie NL.

Heb je vragen? Neem contact op met cernis2@minienw.nl. Vermeld bij het onderwerp ‘ITS-dienstaanbieder’.

Veelgestelde vragen

Algemeen

Wat is de planning van de implementatie van NIS2 (en CER)?

Wat betekent het feit dat de Nederlandse wetgeving pas in 2025 ingaat voor organisaties?

Hoe is de samenhang tussen de NIS2- en de CER-implementatie geregeld?

Wat wordt de procedure om mijn organisatie te registeren?

Moeten organisaties die al onder de huidige Wbni vallen zich ook (opnieuw) registeren?

Als je voldoet aan/gecertificeerd bent voor bijvoorbeeld de BIO, CSIR, ISO27001, etc. voldoe je dan aan de zorgplicht van NIS2?

Vallen gemeenschappelijke regelingen van overheidsorganisaties voor bijvoorbeeld afvalstoffenbeheer onder de NIS2?

Tot hoever gaat de verantwoordelijkheid voor de cyberweerbaarheid van je toeleveringsketen? En gaat dit alleen om de digitale keten, of ook om bijvoorbeeld bedrijven die grondstoffen leveren? Krijgen deze partijen ook toezicht?

Wat wordt de procedure om melding te maken van een incident?

Hoe wordt het toezicht ingeregeld?

Hoe wordt er samengewerkt tussen inspectiediensten om de toezichtlast voor organisaties te beperken?

Hoe verhoudt het toezicht van NIS2 zich tot ander toezicht?

Hoe werkt het toezicht als de IT en/of securityafdeling niet in Nederland is gevestigd?

Wanneer moet een incident worden gemeld?

Sector afvalstoffenbeheer

Welke organisaties behoren tot de sector afvalstoffenbeheer?

Wie is er voor de sector afvalstoffenbeheer de toezichthouder?

Wie is er voor de sector afvalstoffenbeheer het CSIRT?

Sector chemische industrie

Welke organisaties behoren tot de sector chemische industrie?

Wie is er voor de chemische sector de toezichthouder?

Wie is er voor de chemische sector het CSIRT?

Sector luchtvaart

Welke organisaties behoren tot de sector luchtvaart?

Wie is er voor de sector luchtvaart de toezichthouder?

Wie is er voor de sector luchtvaart het CSIRT?

Sector scheepvaart

Welke organisaties behoren tot de maritieme sector?

Wie is er voor de maritieme sector de toezichthouder?

Wie is er voor de maritieme sector het CSIRT?

Wat wordt verstaan onder “bedrijven voor vervoer over water van passagiers en vracht”? Vallen daar bijvoorbeeld ook sleepwerkzaamheden en het vervoer van maritiem personeel onder?

Er geldt onder de Cyberbeveiligingswet een uitzondering voor de vaartuigen die maritieme bedrijven exploiteren. Geldt deze uitzondering ook voor de bemanning en de financiële waarde van die schepen?

Sector spoorvervoer

Welke organisaties behoren tot de sector spoorvervoer?

Wie is er voor de sector spoorvervoer de toezichthouder?

Wie is er voor de sector spoorvervoer het CSIRT?

Sector water

Welke organisaties behoren tot de sector water?

Wie is er voor de sector water de toezichthouder?

Wie is er voor de sector water het CSIRT?

Sector wegvervoer

Welke organisaties behoren tot de sector wegvervoer?

Wie is er voor de sector wegvervoer de toezichthouder?

Wie is er voor de sector wegvervoer het CSIRT?

Is mijn organisatie een ITS-dienstaanbieder die onder de Cyberbeveiligingswet valt?