Implementatie Cyberbeveiligingswet 2025
De Europese NIS2-richtlijn, bedoeld om de digitale weerbaarheid van organisaties te versterken, had op 17 oktober 2024 in nationale wetgeving moeten zijn omgezet. Echter, Nederland heeft deze deadline niet gehaald. Wat betekent dit voor je organisatie en welke stappen je nu kan ondernemen?
Uitbreiding van de scope
NIS2 breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit. Naast essentiële entiteiten worden nu ook belangrijke entiteiten, zoals middelgrote en grote bedrijven, onder de richtlijn gebracht. Dit betekent dat meer organisaties moeten voldoen aan de gestelde cybersecurity-eisen.
Vier kernverplichtingen
De richtlijn introduceert vier hoofdverplichtingen:
- Registratieplicht: Organisaties die onder NIS2 vallen moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Dit helpt bij het opstellen van een nationaal register en biedt inzicht op Europees niveau.
- Meldplicht: Significante incidenten die de dienstverlening verstoren moeten worden gemeld bij zowel het Computer Security Incident Response Team (CSIRT) als de toezichthouder. Het is essentieel om een incident response-plan te hebben om aan deze verplichting te voldoen.
- Zorgplicht: Organisaties moeten een risico-gebaseerde aanpak hanteren voor hun cybersecuritybeleid. Dit houdt in dat er continu risicoanalyses worden uitgevoerd en passende maatregelen worden genomen om deze risico’s te mitigeren.
- Toezicht: Er wordt streng toezicht gehouden op de naleving van de zorgplicht. Bestuurders krijgen een opleidingsplicht om ervoor te zorgen dat zij voldoende kennis hebben om beslissingen te nemen op het gebied van informatiebeveiliging.
Wat nu?
Hoewel de Nederlandse implementatie van NIS2 is vertraagd, is het raadzaam om niet te wachten met de voorbereidingen. Begin met het uitvoeren van een grondige risicoanalyse en stel een incident response-plan op. Zorg ervoor dat uw organisatie voldoet aan de gestelde eisen, zodat u klaar bent wanneer de wetgeving in werking treedt.
Voor meer informatie en ondersteuning kun je terecht bij het NCSC en andere relevante instanties. Het is van groot belang om proactief te handelen en je organisatie voor te bereiden op de komende veranderingen in het cybersecuritylandschap.