Over de Cbw

Organisaties vallen automatisch onder de NIS2-richtlijn, en daarmee de Cyberbeveiligingswet, als zij actief zijn in aangewezen sectoren en volgens bepaalde criteria gekenmerkt worden als ‘essentiële’ of ‘belangrijke’ entiteit. Automatisch wil zeggen dat de verplichtingen van de Cyberbeveiligingswet voor deze organisaties direct gaan gelden zodra de wet in werking treedt. 

Zelfevaluatie NIS2

In nauwe afstemming met betrokken ministeries en toezichthouders, heeft de Rijksinspectie Digitale Infrastructuur (RDI) een vragenlijst ontwikkeld, waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen en of ze gekenmerkt worden als essentieel of belangrijk. Doe hier de NIS2 Zelfevaluatie

Flowchart

Ook kun je via de volgende flowchart controleren of je jouw organisatie moet registreren als NIS2-entiteit. Bekijk of download de flowchart hieronder.

Vergroot afbeelding

• Zorgplicht - Het wetsvoorstel bevat een zorgplicht die organisaties verplicht zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen. Lees meer in de infosheet Zorgplicht of bekijk hier onze tips hoe je je kunt voorbereiden op de komst van de zorgplicht. 
• Meldplicht - Het wetsvoorstel schrijft voor dat entiteiten significante incidenten binnen 24 uur moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de organisatie aanzienlijk (kunnen) verstoren. Computer Security Incident Response Teams (CSIRT) kunnen vervolgens hulp en bijstand verlenen. De drempelwaarden voor significante incidenten worden nog nader uitgewerkt. Voorbeelden van factoren die incidenten tot een significant incident kunnen maken zijn de omvang van de financiële verliezen voor betrokkenen, veroorzaken van (operationele) schade aan andere entiteiten dan de getroffen entiteit. Voor het doen  van meldingen wordt een centraal meldpunt ingericht door het NCSC. Het Meldportaal dat voor het doel van significante meldingen wordt ingericht is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of van bijna-incidenten. Lees meer in de infosheet Meldplicht. 
• Registratieplicht – Organisaties die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin organisaties zichzelf registreren en aanmelden als NIS2 entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op. Lees hier meer over de Registratieplicht. 
• Toezicht - Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Lidstaten zijn verplicht om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale dreigingen. De NIS2-richtlijn schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.