Wat is de NIS2-richtlijn (CBW) en wie valt onder de Cyberbeveiligingswet?
- Rebecca Sykes

- 3 dagen geleden
- 4 minuten om te lezen
Cyberaanvallen vormen al lang niet meer alleen een risico voor grote internationale bedrijven. Ook organisaties in de zorg, logistiek, overheid, industrie en IT worden steeds vaker geconfronteerd met ransomware, datalekken en verstoringen van hun dienstverlening. De maatschappelijke impact van dergelijke incidenten neemt ieder jaar toe.
Om de digitale weerbaarheid van Europa te vergroten, heeft de Europese Unie de NIS2-richtlijn opgesteld. In Nederland wordt deze richtlijn omgezet in de Cyberbeveiligingswet (CBW).
Hoewel officieel gesproken wordt over de Cyberbeveiligingswet, gebruiken veel organisaties nog steeds de term NIS2. In dit artikel gebruiken we daarom beide benamingen.
In dit eerste artikel uit onze kennisreeks leggen we uit wat de NIS2-richtlijn (CBW) is, wat het doel van de wet is en welke organisaties ermee te maken kunnen krijgen.
Wat is NIS2? De Cyberbeveiligingswet (CBW) uitgelegd
De Cyberbeveiligingswet (CBW) is de Nederlandse implementatie van de Europese NIS2-richtlijn.
De wet stelt eisen aan organisaties die een belangrijke rol spelen binnen de Nederlandse samenleving of economie. Het doel is ervoor te zorgen dat deze organisaties hun digitale risico's beter beheersen en cyberincidenten sneller kunnen voorkomen, detecteren en afhandelen.
Daarmee vormt de Cyberbeveiligingswet een belangrijke stap in het vergroten van de digitale weerbaarheid van Nederland.
Wat is het doel van de NIS2-richtlijn?
Het hoofddoel van de NIS2-richtlijn en de Cyberbeveiligingswet (CBW) is het verhogen van de digitale weerbaarheid van belangrijke organisaties.
De wet kent drie belangrijke doelstellingen.
1. Kritieke diensten beter beschermen
Organisaties die essentieel zijn voor de samenleving moeten passende technische en organisatorische beveiligingsmaatregelen treffen om cyberrisico's te beheersen.
Hiermee wordt de kans verkleind dat cyberaanvallen leiden tot verstoringen van maatschappelijke dienstverlening.
Denk bijvoorbeeld aan organisaties binnen:
energie
drinkwater
gezondheidszorg
transport
financiële dienstverlening
digitale infrastructuur
overheden
2. Cyberincidenten sneller detecteren en melden
Wanneer zich een ernstig cyberincident voordoet, moeten organisaties dit binnen de wettelijke termijnen melden aan de bevoegde instanties.
Hierdoor kunnen overheidsorganisaties sneller reageren, andere organisaties waarschuwen en de impact van grootschalige cyberaanvallen beperken.
3. De digitale keten beter beveiligen
Organisaties zijn steeds afhankelijker van leveranciers, cloudplatformen, softwareleveranciers en IT-dienstverleners.
Een kwetsbaarheid bij één leverancier kan gevolgen hebben voor honderden of zelfs duizenden organisaties.
Daarom richt de Cyberbeveiligingswet zich niet alleen op individuele organisaties, maar ook op de beveiliging van de gehele leveranciersketen.

Welke verplichtingen brengt de Cyberbeveiligingswet (CBW) met zich mee?
Afhankelijk van de organisatie moeten onder andere de volgende maatregelen worden genomen:
cyberrisico's identificeren en beoordelen;
passende technische en organisatorische beveiligingsmaatregelen treffen;
risico's binnen de leveranciersketen beheersen;
ernstige cyberincidenten melden;
bestuurders actief betrekken bij cybersecurity;
kunnen aantonen dat beveiligingsmaatregelen daadwerkelijk worden uitgevoerd.
Cybersecurity wordt daarmee niet langer uitsluitend een verantwoordelijkheid van de IT-afdeling, maar ook van het bestuur.
Wie valt onder de Cyberbeveiligingswet (CBW)?
Een veelgestelde vraag is welke organisaties precies onder de NIS2-richtlijn en de Cyberbeveiligingswet vallen.
De wet onderscheidt twee hoofdgroepen.
Essentiële entiteiten
Dit zijn organisaties die een cruciale rol spelen binnen de samenleving, zoals organisaties in de:
energie;
drinkwater;
gezondheidszorg;
digitale infrastructuur;
financiële sector;
overheid.
Belangrijke entiteiten
Daarnaast geldt de wet voor diverse belangrijke organisaties, waaronder onder andere:
productiebedrijven van kritieke producten;
logistieke organisaties;
afvalbeheer;
digitale dienstverleners;
managed service providers (MSP's);
cloud- en IT-dienstverleners;
diverse andere sectoren die in de wet zijn aangewezen.
In veel gevallen geldt de Cyberbeveiligingswet voor organisaties met:
minimaal 50 medewerkers; of
een jaaromzet of balanstotaal van meer dan €10 miljoen.
Deze omvangscriteria zijn echter niet altijd doorslaggevend.
Geldt de Cyberbeveiligingswet ook voor kleinere organisaties?
Ja, in sommige gevallen wel.
Sommige organisaties vallen onder de wet vanwege hun maatschappelijke functie of omdat hiervoor sectorspecifieke regelgeving geldt. Daarnaast kunnen organisaties indirect met de eisen uit de Cyberbeveiligingswet te maken krijgen doordat zij een belangrijke rol vervullen binnen de toeleveringsketen van organisaties die zelf onder de wet vallen.
Denk bijvoorbeeld aan een regionale IT-beheerder met tien medewerkers die de IT-omgeving beheert van meerdere zorginstellingen of onderwijsorganisaties. Hoewel deze organisatie relatief klein is, kan haar dienstverlening van groot belang zijn voor organisaties die wel onder de Cyberbeveiligingswet vallen.
Of een organisatie daadwerkelijk onder de wet valt, hangt daarom af van meerdere factoren, zoals de sector waarin zij actief is, de diensten die zij levert en haar rol binnen de keten.
In een volgend artikel uit deze serie gaan we dieper in op de grootste misvattingen rondom de Cyberbeveiligingswet en leggen we uit waarom veel organisaties denken dat de wet niet op hen van toepassing is.
Waar vindt u officiële informatie?
Wilt u weten wat de actuele stand van zaken is rondom de NIS2-richtlijn en de Cyberbeveiligingswet (CBW)? Dan zijn de volgende bronnen een goed uitgangspunt:
De Rijksoverheid
Het Nationaal Cyber Security Centrum (NCSC)
De tekst van de Europese NIS2-richtlijn
Deze organisaties publiceren de meest actuele informatie over de wetgeving, implementatie en verplichtingen.

Veelgestelde vragen
Is de Cyberbeveiligingswet hetzelfde als NIS2?
Ja. De NIS2-richtlijn is Europese wetgeving. De Cyberbeveiligingswet (CBW) is de Nederlandse wet waarmee deze richtlijn wordt geïmplementeerd.
Geldt NIS2 alleen voor grote organisaties?
Nee. Hoewel omvangscriteria vaak een rol spelen, kunnen ook kleinere organisaties onder de wet vallen, bijvoorbeeld vanwege hun maatschappelijke functie, sector of positie binnen een kritieke leveranciersketen.
Moet iedere organisatie voldoen aan de Cyberbeveiligingswet?
Nee. De wet is alleen van toepassing op organisaties die binnen de reikwijdte van de Cyberbeveiligingswet vallen. Welke organisaties dat zijn, hangt af van meerdere factoren, waaronder de sector, de dienstverlening en in veel gevallen ook de omvang van de organisatie.
Serie: NIS2 & Cyberbeveiligingswet
Dit is het eerste artikel uit onze kennisreeks over de NIS2-richtlijn en de Cyberbeveiligingswet.
In de komende artikelen gaan we dieper in op:
De grootste misvattingen over NIS2 en de Cyberbeveiligingswet.
Wat de Cyberbeveiligingswet de komende jaren betekent voor organisaties.
Waarom governance onder NIS2 belangrijker wordt dan alleen security controls.
Welke security controls essentieel zijn onder de Cyberbeveiligingswet.
Procesoptimalisatie: van losse maatregelen naar structurele beheersing.
Aantoonbaarheid: hoe toont u aan dat cybersecurity daadwerkelijk onder controle is?




Opmerkingen