Over de Cbw

Organisaties vallen automatisch onder de Cyberbeveiligingswet als zij actief zijn in aangewezen sectoren (zie hieronder) en volgens bepaalde criteria gekenmerkt worden als ‘essentiële’ of ‘belangrijke’ entiteit. Automatisch wil zeggen dat de verplichtingen van de Cyberbeveiligingswet voor deze organisaties direct gaan gelden zodra de wet in werking treedt. 

Vergroot afbeelding

Zelfevaluatie NIS2

In nauwe afstemming met betrokken ministeries en toezichthouders, heeft de Rijksinspectie Digitale Infrastructuur (RDI) een vragenlijst ontwikkeld, waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen en of ze gekenmerkt worden als essentieel of belangrijk. Doe hier de NIS2 Zelfevaluatie

Flowchart

Ook kun je via de volgende flowchart controleren of je jouw organisatie moet registreren als NIS2-entiteit. Bekijk of download de flowchart hieronder.

Vergroot afbeelding

• Zorgplicht - Het wetsvoorstel bevat een zorgplicht die organisaties verplicht zelf een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen. Lees meer in de infosheet Zorgplicht of bekijk hier onze tips hoe je je kunt voorbereiden op de komst van de zorgplicht. 
• Meldplicht - Het wetsvoorstel schrijft voor dat entiteiten significante incidenten zo snel mogelijk, maar in ieder geval binnen 24 uur moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de organisatie aanzienlijk (kunnen) verstoren. Computer Security Incident Response Teams (CSIRT) kunnen vervolgens hulp en bijstand verlenen. De drempelwaarden voor significante incidenten worden nog nader uitgewerkt. Voorbeelden van factoren die incidenten tot een significant incident kunnen maken zijn de omvang van de financiële verliezen voor betrokkenen, veroorzaken van (operationele) schade aan andere entiteiten dan de getroffen entiteit. Een melding kan gemaakt worden op mijn.ncsc.nl, een centraal meldpunt geschikt voor significante meldingen en vrijwillige meldingen. Lees hier meer over de meldplicht of download de infosheet Meldplicht. 
• Registratieplicht – Organisaties die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. De registratie vindt plaats op mijn.ncsc.nl. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op. Lees hier meer over de registratieplicht of download de infosheet Registratieplicht. 
• Toezicht - Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Lidstaten zijn verplicht om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale dreigingen. De Cyberbeveiligingswet schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling. het NCSC is zowel het Nationaal CSIRT als het sectoraal CSIRT voor verschillende aangewezen sectoren. Lees hier meer over de dienstverlening van het NCSC, of lees deze infosheet voor meer informatie over ondersteuning van het NCSC bij cyberincidenten.