Registratieplicht

Onder de Cyberbeveiligingswet vallen entiteiten die bij uitval van diensten zorgen voor een ontwrichtende impact op de economie en de samenleving. Hierbij wordt een onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ entiteiten. Voor alle organisaties die onder de Cbw vallen, geldt de registratieplicht. Doorloop onderstaande flowchart om te achterhalen of dit voor jou geldt, of doe de NIS2-zelfevaluatie van de RDI. 

Complexe bedrijfsmodellen 

Voor organisaties met een complexe bedrijfsstructuur - zoals organisaties met meerdere vestigingen binnen Nederland, in andere Europese lidstaten of in andere landen - is het vaststellen of zij onder de Cyberbeveiligingswet vallen vaak ingewikkeld. De handreiking 'Complexe bedrijfsmodellen' is speciaal bedoeld voor deze organisaties. De handreiking biedt ondersteuning
bij het bepalen of deze organisaties onder de Cyberbeveiligingswet vallen óf dat zij onder de nationale wetgeving van een andere Europese lidstaat vallen.

Essentiële en belangrijke entiteiten hebben een wettelijke verplichting om gegevens aan te leveren voor een zogenoemd entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid van belangrijke en essentiële diensten en organisaties. Na registratie kunnen organisaties aansluiten op de dienstverlening van hun betreffende sectorale CSIRT. Daar krijgen zij producten en diensten om de weerbaarheid van de organistie te vergroten en ondersteuning in geval van een incident. 

De registratie van essentiële en belangrijke entiteiten vindt in Nederland plaats bij het Nationaal Cyber Security Centrum (NCSC). Je kunt via eHerkenning of Single Sign On Rijk inloggen op mijn.ncsc.nl. 

Registratie kan nu al op mijn.ncsc.nl. De plicht geldt pas vanaf de inwerkingtreding van de Cyberbeveiliginswet (Cbw). Dit is naar verwachting Q2 2026. 

Wij adviseren de registratie te laten doen door:

• Iemand met inhoudelijke kennis van cybersecurity, zoals: CISO, security expert of anders IT-gerelateerd.
• Iemand met hoge beslissingsbevoegdheid, zoals een CEO, eigenaar of iemand van compliance.

De persoon moet in ieder geval veilig kunnen inloggen via eHerkenning of Single Sign On Rijk.

De richtlijn voorziet er niet in dat organisaties zich in één keer voor alle EU-lidstaten waar zij actief zijn kunnen registeren. Voor de meeste organisaties geldt dat zij in elk land waar zij zijn gevestigd en hun diensten verlenen onder de wetgeving van dat land vallen (hierop zijn slechts drie uitzonderingen: overheidsinstellingen moeten zich registreren in het eigen land. Aanbieders van openbare elektronische communicatiediensten- en netwerken moeten zich registreren in het land waar zij hun diensten aanbieden. Aanbieders van internetdiensten* moeten zich registreren in het land, waar zich de hoofdvestiging** binnen de EU bevindt).  Is een organisatie dus bijvoorbeeld zowel in Nederland als in België gevestigd en van daaruit actief, dan geldt de Nederlandse wetgeving voor de vestiging in Nederland én de Belgische wetgeving voor die andere vestiging. Ook zal een significant incident in iedere EU-lidstaat gemeld moeten worden.

Wel zullen de toezichthoudende instanties onderling afspraken maken om onder meer onevenredig veel toezicht door de verschillende inspectiediensten te voorkomen. Het uitgangspunt is dat de meldplicht op zo’n manier wordt ingericht dat het zo min mogelijk tijd kost. Er wordt naar gestreefd het meldportaal technisch zó in te richten, dat het doen van de melding van een significant incident in Nederland maar één handeling vergt.

* Internetdiensten moeten hier worden verstaan als DNS-dienstverleners, registers van TLD’s, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloud diensten, datacentra, contentdelivery diensten, MSP’s en MSSP’s, aanbieders van online marktplaatsen, zoekmachines of socialmedia aanbieders.

** Hoofdvestiging is die vestiging binnen de EU, waar beslissing over het beheer van cyberveiligheidsmaatregelen in hoofdzaak worden genomen. Kan dit niet worden bepaald, dan wordt als hoofdvestiging beschouwd de plaats waar dergelijke maatregelen worden uitgevoerd. Kan ook dit niet worden bepaald, dan geldt als hoofdvestiging de vestiging waar zich de meeste werknemers zich bevinden.”

Jouw gegevens worden optimaal beschermd om ongeautoriseerde toegang te voorkomen. Wij nemen uitgebreide maatregelen om ervoor te zorgen dat informatie veilig, verantwoord en in overeenstemming met de wet wordt verwerkt.

Veilige en versleutelde opslag
Alle aangeleverde gegevens worden als vertrouwelijk behandeld en veilig opgeslagen. Dit betekent dat gegevens niet leesbaar zijn voor onbevoegden, zowel tijdens de opslag als bij verzending. Hiervoor maken wij gebruik van versleuteling, een techniek die informatie beschermt tegen toegang door derden.

Back-ups en geavanceerde netwerkbescherming
Daarnaast maken wij regelmatig back-ups die veilig worden opgeslagen. Dit zorgt ervoor dat gegevens hersteld kunnen worden bij een technische storing, menselijke fout of cyberaanval. Onze systemen worden verder beveiligd met geavanceerde netwerkbescherming, zoals firewalls en systemen die verdachte activiteiten detecteren en blokkeren.

Toegang tot gegevens
Alleen medewerkers die de gegevens nodig hebben voor hun werk, krijgen toegang. Deze toegang is strikt gereguleerd en beperkt tot wat noodzakelijk is voor hun functie. Om te voorkomen dat toegang onnodig blijft bestaan, worden rechten regelmatig gecontroleerd en aangepast. Wij houden ook een logboek bij van wie toegang heeft gehad tot de gegevens en controleren deze logs om misbruik te voorkomen. 

Beveiligingstests 
Om ervoor te zorgen dat jouw gegevens altijd beschermd blijven, voeren wij regelmatig beveiligingstests uit. Dit omvat onder andere het simuleren van cyberaanvallen en het opsporen van kwetsbaarheden in onze systemen. Dankzij deze tests kunnen we beveiligingsproblemen vroegtijdig signaleren en oplossen, zodat jouw gegevens veilig blijven.

Bewaartermijn
Wij bewaren jouw gegevens alleen zolang als nodig is om te voldoen aan wettelijke verplichtingen of voor beveiligingsdoeleinden. Zo worden gegevens die nodig zijn voor een melding volgens de NIS2-richtlijn bewaard zolang de wet dit vereist. De exacte bewaartermijnen worden vastgesteld in de aankomende Cyberbeveiligingswet (Cbw). Totdat deze wetgeving van kracht is, volgen wij de regels van de Algemene Verordening Gegevensbescherming (AVG), die stelt dat gegevens niet langer worden bewaard dan noodzakelijk.

Samengevat: het proces rondom informatiebeveiliging
Ontvangst van gegevens: direct na aanlevering woren de gegevens versleuteld. 
Gebruik voor wettelijke doeleinden: gegevens worden gebruikt en bewaard zolang dit verplicht is. 
Verwijdering van gegevens: na afloop van de bewaartermijn worden de gegevens veilig verwijderd. 

Met deze maatregelen zorgt het Nationaal Cyber Security Centrum ervoor dat jouw gegevens veilig, verantwoord en in overeenstemming met de wetgeving worden behandeld.