De Nederlandse Cyberbeveiligingswet maakt de hele organisatie verantwoordelijk voor digitale weerbaarheid. De wet zet de EU-richtlijn NIS2 om en geldt voor duizenden bedrijven en overheden in Nederland. Inwerkingtreding wordt rond de EU-deadline van 17 oktober 2024 verwacht, op het moment van schrijven nog afhankelijk van parlementaire behandeling. Het doel is minder uitval door hacks en duidelijke plichten voor bestuur, ict en leveranciers, met oog voor AVG en de Europese AI-verordening (AI Act) en hun gevolgen voor overheid en bedrijfsleven.
Bestuur draagt eindverantwoordelijkheid
De Cyberbeveiligingswet legt de eindverantwoordelijkheid bij het bestuur. Bestuurders moeten aantoonbaar sturen op risicobeperking, zoals beleid, budget en training. Zij blijven niet langer op afstand van de dagelijkse ict-besluiten. Dit maakt digitale veiligheid een vast onderdeel van bedrijfsvoering en arbo‑beleid.
De wet maakt onderscheid tussen “essentiële” en “belangrijke” entiteiten. Organisaties in vitale sectoren vallen sneller onder de strengste eisen. Daarnaast komen veel middelgrote bedrijven in scope als zij in aangewezen sectoren werken. Denk aan zorg, water, transport, digitale infrastructuur en delen van de maakindustrie.
De toezichthoudende rol wordt in Nederland belegd bij sectorale autoriteiten en de Rijksinspectie Digitale Infrastructuur (RDI). Het Nationaal Cyber Security Centrum (NCSC) blijft het kennis- en meldpunt voor vitale organisaties. Het Digital Trust Center (DTC) ondersteunt niet-vitale bedrijven met praktische adviezen. Samen moet dit versnippering verminderen en meldingen sneller maken.
Ketenrisico telt nu mee
Niet alleen eigen systemen, maar ook leveranciers en uitbesteding vallen onder de zorgplicht. Organisaties moeten aantonen dat zij ketenrisico’s kennen en beperken. Dat betekent due diligence op clouddiensten, softwareleveranciers en beheerders. Contracten en audits worden hiermee belangrijker en frequenter.
De wet vraagt om basismaatregelen die voor iedereen begrijpelijk zijn. Voorbeelden zijn multifactorauthenticatie, versleuteling en tijdig patchen van software. Ook hoort daar training bij om phishing en social engineering te verminderen. Zo wordt mens, proces en techniek in samenhang verbeterd.
Operational technology (OT) in fabrieken en installaties krijgt extra aandacht. Storing in pompen, bruggen of productielijnen kan publieke diensten raken. Bedrijven moeten daarom ook in de fysieke laag segmentatie en monitoring regelen. Dit verkleint de kans dat een it‑incident overslaat naar de operatie.
Meldplichten met strakke termijnen
De meldplichten worden strakker en meervoudig. Ernstige incidenten moeten snel worden doorgegeven aan de bevoegde autoriteit en het CSIRT. Er komt een vroege waarschuwing, gevolgd door een uitgebreide melding. Daarna volgt een eindrapport met oorzaken en verbetermaatregelen.
De EU‑richtlijn NIS2 vraagt een eerste melding binnen 24 uur, een nadere update binnen 72 uur en een eindrapport binnen 30 dagen.
Boetes zijn zwaarder dan voorheen en raken ook governance. Op het moment van schrijven gaat het om maxima tot 10 miljoen euro of 2% van de wereldwijde omzet voor essentiële entiteiten. Voor belangrijke entiteiten ligt de bovengrens lager, tot 7 miljoen euro of 1,4% van de omzet. Naast geldboetes kunnen bindende aanwijzingen en audits volgen.
Heldere interne processen worden daardoor cruciaal. Denk aan een 24/7 meldpunt, een beslisboom voor classificatie en voorbereid crisisoverleg. Oefenen met scenario’s verkort doorlooptijd en voorkomt dat feiten verloren gaan. Dit helpt ook bij communicatie naar klanten en toezichthouders.
AVG en bedrijfsdata samenbrengen
De Cyberbeveiligingswet raakt vaak de AVG. Een cyberincident kan tegelijk een datalek zijn met persoonsgegevens. Dan gelden dubbele meldpaden: naar de sectorale toezichthouder of RDI en naar de Autoriteit Persoonsgegevens. Eén geïntegreerd draaiboek voorkomt tegenstrijdige acties.
Dataminimalisatie en versleuteling, twee kernpijlers van de AVG, helpen nu ook bij NIS2‑naleving. Versleutelde data verkleint impact en juridische risico’s. Een actueel dataregister maakt het sneller beslissen bij incidenten. Zo lopen juridische en technische beheersmaatregelen in elkaar over.
Ook leveranciers moeten aan AVG‑eisen blijven voldoen. Verwerkersovereenkomsten horen beveiligingsafspraken en auditrechten te bevatten. Het is verstandig om standaardclausules te actualiseren met NIS2‑elementen. Zo ontstaat één set afspraken voor privacy en cyberweerbaarheid.
AI-verordening: gevolgen overheid
Steeds meer organisaties gebruiken algoritmen voor detectie, toegang of besluitvorming. De Europese AI‑verordening (AI Act) verplicht risicobeoordeling en logging voor hoog‑risico‑systemen. Overheidsinstanties en vitale dienstverleners vallen daar vaak onder. Het is daarom slim om AI‑risicoregisters te koppelen aan het NIS2‑risicobeleid.
AI‑systemen die netwerkverkeer analyseren of gedrag voorspellen vragen om extra zorg. Transparantie over werking en foutkansen hoort bij beheer. Bij uitbesteding moet duidelijk zijn wie data ziet en hoe modellen worden geüpdatet. Dit voorkomt blinde vlekken in detectie en respons.
Voor de overheid betekent dit dubbele aandacht voor rechtmatigheid en continuïteit. Beveiligingseisen uit de Baseline Informatiebeveiliging Overheid (BIO) sluiten aan op NIS2. Een gezamenlijke aanpak met inkoop, juridisch en ict versnelt naleving. Zo blijft dienstverlening beschikbaar én uitlegbaar.
Vijf stappen naar naleving
Begin met een scopecheck: val je onder “essentieel” of “belangrijk”, en welke processen zijn kritisch. Stel daarna een bestuursbesluit vast met verantwoordelijkheden en budget. Werk dit uit in beleid en een risicoregister dat elk kwartaal wordt geactualiseerd. Koppel hieraan doelen en meetpunten.
Maak een actueel overzicht van systemen, data en leveranciers. Vraag cloudaanbieders en beheerders om bewijs van maatregelen, zoals ISO 27001 of SOC 2. Leg eisen vast in contracten en voer steekproeven uit. Zo wordt ketenbeveiliging aantoonbaar.
Organiseer detectie en respons met duidelijke termijnen. Richt een 24/7 meldpunt in, oefen incident‑runbooks en borg back‑ups. Automatiseer basismaatregelen zoals MFA en patchmanagement. Evalueer na elk incident en documenteer verbeteringen.
Tot slot: train medewerkers in herkenbare risico’s en gedrag. Houd de lijnen kort tussen security, privacy en juridische teams. Volg updates van RDI, NCSC en het DTC voor sectorale richtsnoeren. Dit maakt naleving haalbaar en vermindert de kans op uitval.
