Zo bereiden bedrijven zich alvast voor op de nieuwe cyberwet

De nieuwe Europese NIS2-richtlijn zal veel bedrijven verplichten om extra cybersecuritymaatregelen te nemen, inclusief bedrijven die voorheen niet onder dergelijke wetgeving vielen. De Nederlandse Cyberbeveiligingswet (Cbw) versterkt deze richtlijn en stelt aanvullende eisen aan bedrijven die cruciaal zijn voor de samenleving en economie. Deze wetgeving vereist niet alleen dat bedrijven in kritieke sectoren hun cyberbeveiliging aanscherpen, maar ook dat ze cyberincidenten melden en hun toeleveranciers controleren op veiligheidsrisico’s. Dit artikel biedt een uitgebreid overzicht van de Cbw en de NIS2-richtlijn, met praktische stappen en adviezen om aan de nieuwe regelgeving te voldoen.

Belang van cybersecurity

In de moderne digitale economie is cybersecurity van cruciaal belang. Bedrijven, groot en klein, zijn steeds meer afhankelijk van technologie voor hun dagelijkse operaties. Dit maakt hen vatbaar voor cyberaanvallen die aanzienlijke schade kunnen veroorzaken, zowel financieel als operationeel. Het versterken van cyberbeveiligingsmaatregelen is dan ook essentieel om de continuïteit van diensten en de bescherming van gevoelige informatie te waarborgen.

Overzicht van de nieuwe cyberwetgeving

Met de komst van de Europese NIS2-richtlijn en de nationale Cyberbeveiligingswet (Cbw) staan bedrijven voor nieuwe uitdagingen en verplichtingen. Deze wetgeving is gericht op het verhogen van de cyberweerbaarheid van kritieke sectoren binnen de Europese Unie, inclusief Nederland. In dit artikel bespreken we hoe bedrijven zich kunnen voorbereiden op deze veranderingen en welke stappen zij nu al kunnen nemen om compliant te zijn.

De Cyberbeveiligingswet (Cbw)

Wat is de Cbw?

De Cyberbeveiligingswet (Cbw) is een nieuwe wetgeving die in Nederland wordt ingevoerd om de cyberweerbaarheid van bedrijven te versterken. Deze wet is een reactie op de toenemende dreiging van cyberaanvallen en de noodzaak om kritieke infrastructuren beter te beschermen.

Doelstellingen van de Cbw

De Cbw heeft als doel om de digitale veiligheid van bedrijven in kritieke sectoren te verbeteren. Dit wordt bereikt door bedrijven te verplichten om robuuste cybersecuritymaatregelen te implementeren en cyberincidenten te melden. De wet streeft ernaar om een hoog niveau van cyberbeveiliging te waarborgen, waardoor de impact van cyberaanvallen wordt geminimaliseerd.

Implementatie en handhaving

De implementatie van de Cbw zal gefaseerd plaatsvinden, waarbij bedrijven tijd krijgen om zich aan te passen aan de nieuwe eisen. De handhaving van de wet zal worden uitgevoerd door specifieke toezichthoudende autoriteiten die verantwoordelijk zijn voor het monitoren van de naleving en het opleggen van sancties bij overtredingen.

Valt mijn bedrijf onder de wet?

Kritieke sectoren

De Cbw is van toepassing op bedrijven die opereren in kritieke sectoren, zoals betalingsverkeer, internet, en zorg. Deze sectoren zijn essentieel voor de werking van de samenleving en de economie. Uitval of verstoringen binnen deze sectoren kunnen ernstige gevolgen hebben, waardoor extra beveiligingsmaatregelen noodzakelijk zijn.

Definities van bedrijfsgrootte

De wetgeving is primair van toepassing op middelgrote en grote bedrijven. De criteria voor bedrijfsgrootte zijn gebaseerd op het aantal medewerkers, de jaaromzet, en het balanstotaal. Deze definities helpen om te bepalen welke bedrijven verplicht zijn om aan de nieuwe cyberbeveiligingsnormen te voldoen.

Uitzonderingen en specifieke gevallen

Voor bepaalde sectoren, zoals aanbieders van openbare elektronische communicatienetwerken en overheidsorganisaties, geldt de Cbw ongeacht de omvang van het bedrijf. Daarnaast kunnen micro- en kleine bedrijven onder de wet vallen als een vakminister hen hiertoe aanwijst op basis van een risicobeoordeling.

Kritieke sectoren

Overzicht van kritieke sectoren

Kritieke sectoren omvatten industrieën die van vitaal belang zijn voor de werking van de maatschappij en de economie. Dit omvat onder andere:

• Betalingsverkeer
• Internetdiensten
• Zorginstellingen
• Energievoorziening
• Drinkwatervoorziening
• Transport en logistiek

Impact van cyberincidenten op deze sectoren

Cyberincidenten in kritieke sectoren kunnen leiden tot ernstige verstoringen. Bijvoorbeeld, een cyberaanval op een zorginstelling kan patiëntgegevens compromitteren en medische diensten verstoren, terwijl een aanval op de energievoorziening kan leiden tot stroomuitval met brede maatschappelijke implicaties.

Grootte of omvang van bedrijven

Criteria voor middelgrote en grote bedrijven

De Cbw richt zich voornamelijk op middelgrote en grote bedrijven. De criteria hiervoor zijn:

• Aantal medewerkers: Bedrijven met 50 of meer medewerkers
• Jaaromzet: Bedrijven met een jaaromzet van 10 miljoen euro of meer
• Balanstotaal: Bedrijven met een balanstotaal van 10 miljoen euro of meer

Specifieke regelgeving voor bepaalde bedrijfstakken

Voor bepaalde bedrijfstakken, zoals aanbieders van openbare elektronische communicatienetwerken, gelden deze omvangcriteria niet. Deze bedrijven vallen altijd onder de Cbw, ongeacht hun grootte.

(Toe)leveranciers en hun verantwoordelijkheden

Veiligheidsverplichtingen binnen de keten

Bedrijven die onder de Cbw vallen, moeten ervoor zorgen dat hun toeleveranciersketen veilig is. Dit betekent dat zij van hun toeleveranciers kunnen eisen om extra beveiligingsmaatregelen te nemen als deze toeleveranciers een impact hebben op hun netwerk- en informatiesystemen.

Proportionaliteit en ketenafspraken

Bij het maken van veiligheidsafspraken binnen de keten is proportionaliteit belangrijk. Dit houdt in dat de beveiligingsmaatregelen in verhouding moeten staan tot het risico dat de toeleverancier vormt. Dit zorgt voor een evenwichtige benadering van cybersecurity binnen de gehele keten.

Begin bij het NIS2-startpunt

Overzicht van NIS2

De NIS2-richtlijn (Network and Information Security Directive) is een Europese wetgeving die gericht is op het versterken van de digitale en economische weerbaarheid van de lidstaten. Deze richtlijn legt verplichtingen op aan bedrijven om hun netwerk- en informatiesystemen te beschermen tegen cyberdreigingen.

Tools en checklists voor ondernemers

Om bedrijven te helpen zich voor te bereiden op de Cbw, heeft het Digital Trust Center (DTC) het NIS2-startpunt opgezet. Hier kunnen ondernemers achtergrondinformatie, tools en checklists vinden om hun cybersecuritymaatregelen te beoordelen en te verbeteren.

10 NIS2 Zorgplichtmaatregelen

Gedetailleerde uitleg van elke maatregel

NIS2-bedrijven moeten een reeks maatregelen nemen om hun netwerk- en informatiesystemen te beschermen. Hieronder volgt een gedetailleerde uitleg van deze maatregelen:

Maatregel 1: Risicoanalyse en beveiliging van informatiesystemen

Bedrijven moeten een grondige risicoanalyse uitvoeren en passende beveiligingsmaatregelen implementeren om hun informatiesystemen te beschermen tegen dreigingen.

Maatregel 2: Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets

Er moeten duidelijke beveiligingsprocedures zijn voor personeel, inclusief toegangsbeheer en het beheer van bedrijfsmiddelen.

Maatregel 3: Maatregelen op het gebied van bedrijfscontinuïteit

Bedrijven moeten plannen hebben voor bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningen, om ervoor te zorgen dat ze snel kunnen herstellen van incidenten.

Maatregel 4: Incidentenbehandeling

Er moeten procedures zijn voor het identificeren, rapporteren en reageren op cyberincidenten.

Maatregel 5: Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging

Regelmatige trainingen en bewustmakingsprogramma's voor medewerkers zijn essentieel om een sterke cybersecuritycultuur te bevorderen.

Maatregel 6: Beveiliging bij het verwerken, ontwikkelen en onderhouden van informatiesystemen

Bedrijven moeten beveiligingsmaatregelen nemen tijdens het hele levenscyclus van hun informatiesystemen, van ontwikkeling tot onderhoud.

Maatregel 7: Beveiliging van de toeleveranciersketen

De beveiliging van de gehele toeleveranciersketen moet worden gewaarborgd door duidelijke afspraken en maatregelen.

Maatregel 8: Gebruik van cryptografie en encryptie

Er moeten beleidslijnen en procedures zijn voor het gebruik van cryptografie en encryptie om gegevens te beschermen.

Maatregel 9: Multifactorauthenticatie en beveiligde communicatie

Bedrijven moeten multifactorauthenticatie implementeren en zorgen voor beveiligde spraak-, video- en tekstcommunicatie.

Maatregel 10: Beoordeling van de effectiviteit van beheersmaatregelen

Regelmatige beoordelingen van de effectiviteit van de genomen cyberbeveiligingsmaatregelen zijn noodzakelijk om continue verbetering te waarborgen.

Praktische adviezen en voorbeelden

Voor elke maatregel geven we praktische tips en voorbeelden die bedrijven kunnen gebruiken om hun cybersecurity te verbeteren en compliant te zijn met de nieuwe wetgeving.