De nieuwe Cyberbeveiligingswet NIS2 en de belangrijkste concrete verplichtingen voor ondernemingen
De Cyberbeveiligingswet (‘Cbw’), die de Europese NIS2-richtlijn in Nederland implementeert, treedt naar verwachting in het derde kwartaal van 2025 in werking. De Cyberbeveiligingswet is ontworpen om de digitale weerbaarheid van bedrijven en overheden te versterken en kent flinke gevolgen voor bedrijven.
De wet bevindt zich nog in de voorbereidingsfase, maar omdat het gaat om het implementeren van een Europese richtlijn kennen we de in te voeren verplichtingen al wel.
In deze blog bespreken we de belangrijkste verplichtingen van de Cyberbeveiligingswet voor ondernemingen en wat dat concreet betekent.
Wanneer is de wet van toepassing en voor welke organisaties?
De Cyberbeveiligingswet wordt van toepassing op organisaties die actief zijn in sectoren waar digitale verstoringen aanzienlijke gevolgen kunnen hebben voor de maatschappij. Dit omvat onder andere de energievoorziening, het betalingsverkeer en de gezondheidszorg. De wet maakt een onderscheid afhankelijk van de omvang van de organisatie. MKB-ondernemingen kunnen ook indirect onder de wet vallen, bijvoorbeeld als zij toeleverancier zijn voor essentiële of belangrijke ondernemingen. Of daarvan sprake is, hangt af van de sector, het aantal medewerkers en de omzet van de betrokken onderneming. Er wordt een onderscheid gemaakt tussen essentiële en belangrijke entiteiten. Zie voor een handig overzicht de volgende website: https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/samenvatting-nis2-richtlijn.
Of een partij essentieel of belangrijk is hangt af van de sector waarin deze partij actief is. Dat betreft zeer kritieke sectoren, andere kritieke sectoren of andere sectoren.
Onder de kritieke sectoren vallen onder meer energie, transport, gezondheidszorg, digitale infrastructuur, overheidsdiensten. Onder andere kritieke sectoren vallen onder meer digitale aanbieders, post- en koeriersdiensten, levensmiddelen, vervaardiging/manufacturing.
Sectoren die niet onder deze omschrijvingen vallen, vallen in principe niet onder de cyberbeveiligingswet, omdat ze niet als kritiek bestempeld worden. Hier kan met name gedacht worden aan amusement, recreatie, cultuur, sport.
Als duidelijk is onder welke sector een entiteit valt, moet bezien worden wat de omzet en het aantal medewerkers zijn. Dan worden drie categorieën onderscheiden. Klein is minder dan 50 medewerkers en een jaaromzet minder dan € 10 miljoen. Middelgroot is 50 tot en met 249 medewerkers en een jaaromzet van meer dan € 10 miljoen. Groot zijn entiteiten met meer dan 250 medewerkers en een jaar omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 45 miljoen.
Een grote onderneming in een zeer kritieke sector is een essentiële entiteit. Een grote onderneming in een andere kritieke sector is een belangrijke entiteit. Een middelgrote onderneming in een zeer kritieke sector of een andere kritieke sector is een belangrijke entiteit. Een kleine onderneming is alleen een essentiële of belangrijke entiteit als de minister die onderneming als zodanig heeft aangewezen.
Hieronder een overzicht van de belangrijkste nieuwe verplichtingen. Let dus op dat de concrete verplichting steeds af zal hangen van de
Belangrijkste Verplichtingen van de Cyberbeveiligingswet
Registratieplicht (Artikel 22)
Organisaties die onder de Cyberbeveiligingswet als essentiële of belangrijke entiteit worden beschouwd, of als zodanig zijn aangewezen, moeten zich registreren in het nationale register van entiteiten. Dit register biedt een overzicht van alle essentiële en belangrijke entiteiten in Europa.
De registratieplicht helpt bij het coördineren van de cyberbeveiligingsinspanningen en het verbeteren van de samenwerking tussen verschillende entiteiten.
Zorgplicht (Artikel 23)
Er is een concrete zorgplicht in het leven geroepen voor cyberbeveiliging. Dit geldt zowel voor de interne systemen van de bedrijven, als voor de diensten die deze bedrijven verlenen aan andere bedrijven binnen de kritieke sectoren.
De zorgplicht verplicht organisaties om zelf een risicoanalyse uit te voeren en op basis daarvan passende en evenredige maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen. Dit omvat onder andere het beschermen tegen cyberaanvallen, datadiefstal en risico’s in de leveringsketen.
We kennen momenteel al de algemene zorgplicht die een opdrachtnemer heeft jegens zijn opdrachtgever uit artikel 7:401 van het Burgerlijk Wetboek. Deze nieuwe zorgplicht zoals vermeld in de Cyberbeveiligingswet kan gezien worden als een nadere invulling van de algemene zorgplicht.
Meldplicht (Artikel 27)
De meldplicht vereist dat organisaties binnen 24 uur elk incident melden dat de betrouwbare en continue werking van hun geautomatiseerde systemen in gevaar brengt of heeft gebracht. Dit stelt de autoriteiten in staat om snel te reageren op incidenten en de impact ervan te beperken.
Ten aanzien van de meldplicht voor incidenten gelden de nodige aanvullende verplichtingen. Allemaal met het oog op het snel kunnen handelen om kritieke infrastructuur te beschermen.
Gevolgen voor alle ondernemingen
Hoewel de directe verplichtingen van de Cyberbeveiligingswet voornamelijk gericht zijn op grote en middelgrote ondernemingen die als essentiële of belangrijke entiteit aangemerkt worden, kunnen andere (kleinere) organisaties indirect betrokken zijn.
Bijvoorbeeld, als een MKB-onderneming software ontwikkelt voor een essentiële onderneming, dan moet deze software voldoen aan de beveiligingseisen om de continuïteit van de essentiële onderneming niet in gevaar te brengen. Het is raadzaam om hier alvast op voor te sorteren.
Conclusie
De Cyberbeveiligingswet brengt belangrijke verplichtingen met zich mee voor organisaties in kritieke sectoren, inclusief MKB-ondernemingen die als toeleverancier fungeren. Het is belangrijk om er nu al voor te zorgen dat met invoering van de Cyberbeveiligingswet aan deze verplichtingen kan worden voldaan.
De concrete uitwerking verschilt uiteraard per geval, zodat het belangrijk is om goed naar de specifieke situatie van iedere organisatie te kijken.
Heeft jouw organisatie al stappen ondernomen om te voldoen aan de nieuwe eisen van de Cyberbeveiligingswet? Wij helpen graag!
Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).
