Over de Cbw

Stap 1. Controleer of jouw organisatie behoort tot een van onderstaande de sectoren.

De Cyberbeveiligingswet is van toepassing op de onderstaande sectoren. Zie bijlage 1 en 2 van de Cyberbeveiligingswet voor een gedetailleerd overzicht van deze sectoren en daaronder vallende soorten entiteiten. Entiteiten die domeinnaamregistratiediensten verlenen staan niet vermeld in bijlage 1 of 2 van de Cyberbeveiligingswet. Op deze entiteiten zijn niet alle verplichtingen uit de Cyberbeveiligingswet van toepassing.

Stap 2: Controleer of jouw organisatie voldoet aan de omvangscriteria.

Nadat je hebt gecheckt of jouw organisatie aan te merken is als een soort entiteit genoemd in bijlage 1 of bijlage 2 van de Cyberbeveiligingswet, dient er ook gecontroleerd te worden of jouw organisatie voldoet aan de omvangscriteria om te bepalen of je onder de Cyberbeveiligingswet valt (dit wordt ook wel de size cap genoemd). Hierbij wordt gekeken naar onder andere het aantal medewerkers, de jaaromzet en het balanstotaal. De omvangscriteria alleen zijn niet altijd relevant. Aanbieders van openbare elektronische communicatienetwerken, aanbieders van openbare elektronische communicatiediensten, (gekwalificeerde) verleners van vertrouwensdiensten, aanbieders van registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinnaamregistratiediensten en overheidsorganisaties vallen altijd onder de Cyberbeveiligingswet, ongeacht hun omvang.

Zelfevaluatie NIS2

In nauwe afstemming met betrokken ministeries en toezichthouders, heeft de Rijksinspectie Digitale Infrastructuur (RDI) een vragenlijst ontwikkeld, waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen en of ze gekenmerkt worden als essentieel of belangrijk. Doe hier de NIS2 Zelfevaluatie

Complexe bedrijfsmodellen 

Voor organisaties met een complexe bedrijfsstructuur - zoals organisaties met meerdere vestigingen binnen Nederland, in andere Europese lidstaten of in andere landen - is het vaststellen of zij onder de Cyberbeveiligingswet vallen vaak ingewikkeld. De handreiking 'Complexe bedrijfsmodellen' is speciaal bedoeld voor deze organisaties. De handreiking biedt ondersteuning
bij het bepalen of deze organisaties onder de Cyberbeveiligingswet vallen óf dat zij onder de nationale wetgeving van een andere Europese lidstaat vallen.

• Zorgplicht - Het wetsvoorstel bevat een zorgplicht die organisaties verplicht zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen. Lees meer in de infosheet Zorgplicht of bekijk hier onze tips hoe je je kunt voorbereiden op de komst van de zorgplicht.
• Meldplicht - Het wetsvoorstel schrijft voor dat entiteiten significante incidenten zo snel mogelijk, maar in ieder geval binnen 24 uur moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de organisatie aanzienlijk (kunnen) verstoren. Computer Security Incident Response Teams (CSIRT) kunnen vervolgens hulp en bijstand verlenen. De drempelwaarden voor significante incidenten worden nog nader uitgewerkt. Voorbeelden van factoren die incidenten tot een significant incident kunnen maken zijn de omvang van de financiële verliezen voor betrokkenen, veroorzaken van (operationele) schade aan andere entiteiten dan de getroffen entiteit. Een melding kan gemaakt worden op mijn.ncsc.nl, een centraal meldpunt geschikt voor significante meldingen en vrijwillige meldingen. Lees hier meer over de meldplicht of download de infosheet Meldplicht.
• Registratieplicht – Organisaties die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. De registratie vindt plaats op mijn.ncsc.nl. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op. Lees hier meer over de registratieplicht of download de infosheet Registratieplicht.
• Toezicht - Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Organisaties die onder de Cyberbeveiligingswet vallen, hebben verschillende instanties waar zij terecht kunnen met vragen, meldingen of incidenten. De doorverwijsboom biedt overzicht per sector.

Lidstaten zijn verplicht om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale dreigingen. De Cyberbeveiligingswet schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling. het NCSC is zowel het Nationaal CSIRT als het sectoraal CSIRT voor verschillende aangewezen sectoren. Lees hier meer over de dienstverlening van het NCSC, of lees deze infosheet voor meer informatie over ondersteuning van het NCSC bij cyberincidenten.