De Cyberbeveiligingswet: nieuw juridisch fundament voor digitale weerbaarheid
De hack op het Openbaar Ministerie, in juni 2025, toont opnieuw aan hoe kwetsbaar maatschappelijk belangrijke organisaties zijn voor cyberaanvallen. Een dergelijk incident benadrukt daarmee nogmaals de noodzaak voor deze organisaties om hun informatievoorziening goed te organiseren en te beveiligen.
15 August 2025
EU 2022/2555Cyberbeveiligingswet
De Cyberbeveiligingswet heeft tot doel de verplichtingen voor entiteiten in sectoren met maatschappelijk of economisch gewicht te versterken. Daarnaast verankert de wet bestuurlijke verantwoordelijkheid en regelt het toezicht, handhaving en de samenwerking met zogeheten Computer Security Incident Response Teams (“CSIRT’s”). Dit zijn gespecialiseerde teams die verantwoordelijk zijn voor het detecteren, analyseren, beperken en oplossen van beveiligingsincidenten. De Cyberbeveiligingswet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen.
De verwachting is dat de Cyberbeveiligingswet begin 2026 in werking treedt. De Rijksoverheid adviseert om niet af te wachten totdat de nieuwe wet in werking treedt. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Alvast in actie komen en voorbereiden op de Cyberbeveiligingswet? We zetten de belangrijkste verplichtingen hieronder uiteen.
Reikwijdte Cyberbeveiligingswet
De Cyberbeveiligingswet is van toepassing op essentiële en belangrijke entiteiten. Dit zijn entiteiten die actief zijn in sectoren met een bijzonder hoog maatschappelijk of economisch belang. Essentiële en/of belangrijke entiteiten zijn bijvoorbeeld:
Energiebedrijven;
Ziekenhuizen en zorginstellingen;
Drinkwatervoorzieningen;
Cloud- en datacenterdiensten;
Digitale dienstverleners;
Financiële instellingen; en
Overheidsorganisaties.
Hoofdverplichtingen Cyberbeveiligingswet
De Cyberbeveiligingswet kent drie hoofdverplichtingen, die hun grondslag vinden in de NIS2-richtlijn:
Zorgplicht (artikel 21 Cyberbeveiligingswet; artikel 21 NIS2-richtlijn)
Essentiële en/of belangrijke entiteiten moeten passende maatregelen treffen om cyberrisico’s te beperken. De Cyberbeveiligingswet somt minimale maatregelen op en biedt ruimte voor sectorspecifieke invulling via algemene maatregelen van bestuur of ministeriële regelingen (artikel 21 lid 1-5).
Meldplicht (artikel 25 e.v. Cyberbeveiligingswet; artikel 23 NIS2-richtlijn)
Significante incidenten moeten worden gemeld bij een CSIRT en de bevoegde autoriteit (verschilt per sector en type entiteit). De melding vindt gefaseerd plaats: eerst wordt een waarschuwing ingediend, mogelijk volgt daarna een tussentijdse update, en uiteindelijk wordt een eindverslag gemaakt.
Bestuurlijke verantwoordelijkheid (artikel 24 Cyberbeveiligingswet; artikel 20 NIS2-richtlijn)
Bestuurders van essentiële en/of belangrijke entiteiten krijgen expliciete taken: zij moeten cybersecuritybeleid vaststellen, de uitvoering daarvan controleren en zich laten bijscholen op het gebied van cyberbeveiliging en risicobeheer.
De eerste hoofdverplichting, de zorgplicht, omvat tien minimale maatregelen die organisaties moeten treffen om hun netwerk- en informatiesystemen te beschermen. De maatregelen vormen de kern van de zorgplicht en zijn essentieel om de digitale weerbaarheid van organisaties op een structurele manier te borgen. Kort samengevat moeten de entiteiten:
beheersing van digitale risico’s en de beveiliging van het informatiesysteem
Beveiligingsaspecten implementeren
bedrijfscontinuïteit, incidentenherstel, en crisismanagement.
Beleid en procedures implementeren voor de detectie, melding en afhandeling van cyberincidenten.
trainingen en opleidingen
verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen
beveiliging van de toeleveringsketen
cryptografie en encryptie
toegangsbeheer en toegangscontrole
effectiviteit van de genomen maatregelen te beoordelen
Voorbereiden op de Cyberbeveiligingswet
Ter voorbereiding op de tien maatregelen is het voor organisaties raadzaam nu alvast:
Na te gaan of zij onder de definitie van een essentiële of belangrijke entiteit vallen, en daarmee binnen de reikwijdte van de Cyberbeveiligingswet;
Te beginnen met het opstellen of actualiseren van het cybersecuritybeleid;
Zich aan te sluiten bij een CSIRT; en
Intern voor te bereiden op meldprocedures en audits.
Registratie bij een CSIRT biedt toegang tot:
Een incidentrespons waar wordt geholpen om de impact van een cyberincident te beperken, de oorzaak te analyseren, verdere schade te voorkomen en getroffen systemen te herstellen;
Vroegtijdige waarschuwingen over actuele dreigingsinformatie en cyberdreigingen, zoals nieuwe malwarevarianten, phishingcampagnes en kwetsbaarheden in software of systemen; en
Technische analyse en ondersteuning bij verdachte of schadelijke cyberincidenten.
De Cyberbeveiligingswet brengt de nodige nieuwe verplichtingen met zich mee. De advocaten van Bureau Brandeis zullen u op de hoogte blijven houden over de ontwikkelingen.
