Stappenplan Cyberbeveiligingswet (NIS2-richtlijn)

Met dit stappenplan helpen we je om aan de slag te gaan met de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn. De verwachting is dat deze het tweede kwartaal in 2026 in werking treedt. 

Dit stappenplan is voor organisaties die direct of indirect onder de Cbw komen te vallen. Je valt direct onder de wet als je volgens de wet een ‘belangrijke’ of ‘essentiële’ entiteit bent. Je valt er indirect onder als je een leverancier bent van een organisatie die direct onder de wet komt te vallen. 

Je kan gebruik maken van de NIS2 Zelfevaluatie van de RDI om vast te stellen of je direct onder deze wet gaat vallen. Om vast te stellen of je er indirect mee te maken krijgt, moet je weten of je klanten direct onder de wet vallen: vraag hen dus deze zelfevaluatie uit te voeren om dat duidelijk te krijgen. 

Het verschil tussen ‘direct’ en ‘indirect’ is relevant voor de vraag of je zelf aan de eisen van de Cbw moet voldoen, of dat je je klanten moet ondersteunen om aan de Cbw te voldoen. Het onderscheid tussen ‘belangrijk’ en ‘essentieel’ is met name van belang voor de mate van toezicht en de maximale hoogte van eventuele boetes. 

Het kan ten slotte ook zijn dat je zowel direct als indirect onder de wet valt: dit is het geval wanneer je zelf aan de wettelijke eisen moet voldoen en je klanten óók. Het is in dat geval mogelijk dat je met verschillende sectorale eisen te maken krijgt als je klanten in andere sectoren werkzaam zijn. Gelukkig lijken deze sectorale eisen wel redelijk met elkaar in lijn te zijn. 

NIS2 maakt cybersecurity een bestuursverantwoordelijkheid: klanten moeten hun digitale risico’s inzichtelijk krijgen en actief beheren, terwijl IT-aanbieders verantwoordelijk zijn voor de veiligheid van wat zij opleveren en hoe dat ondersteund wordt. Dit vraagt zowel aandacht van leveranciers van producten als dienstverleners. Voor onze leden betekent dit waarschijnlijk minder inspanningen om klanten van noodzakelijke maatregelen te overtuigen, maar ook dat risicozicht, beveiligingsmaatregelen en voortdurende verbetering zelf tegen het licht gehouden moeten worden. Deze regelgeveling maakt de EU bovendien meer tot gelijk speelveld op dit vlak, in plaats van dat ieder land zijn eigen regels stelt. 

Dit stappenplan brengt informatie van NCSC en ENISA samen, combineert dit met de wetsteksten, ISO27001 én gebruikt daarbij het NOREA NIS2 Control Framework als kapstok om de eisen uit de wet te helpen structureren. Zo kan jij concreet aan de slag met de Cbw. 

CBW (NIS2) Stappenplan

Stap 01

Risicoanalyse

Stap 02

Continuïteitsplan

Stap 03

Beveiligingsbeleid

Stap 04

Incidentenbeleid

Stap 05

Meldplicht

Stap 06

Organisatorische cyberhygiëne

Stap 07

Technische cyberhygiëne

Stap 08

In gesprek met klanten en (toe)leveranciers

Stap 09

Testen en oefenen

Stap 10

Evalueren en verbeteren

Stap 11

Certificeringen en tools

Een belangrijk uitgangspunt van de Cyberbeveiligingswet is het vergroten van continuïteit waar cybersecurity daar een voorwaarde voor is, met name door incidenten te voorkomen en de gevolgen van incidenten in te perken. Maatregelen hiertoe moeten niet alleen technisch, maar ook operationeel en organisatorisch geborgd worden in jouw bedrijfsvoering.

Hoever deze maatregelen moeten gaan, is afhankelijk van de specifieke risico’s voor jouw organisatie. Dat heet een risk-based approach, een belangrijk uitgangspunt in deze wetgeving. De toezichthouders verwachten meer van je als je meer risico loopt.

Het stappenplan is geschreven om toegankelijk te zijn voor iedere bedrijfsomvang. Of je nu tien medewerkers hebt en alleen je klanten er direct onder vallen, of dat je meer dan 200 medewerkers hebt en er zelf onder komt te vallen.

Detailuitwerking van de vereisten

Wij gaan hierboven uit van de 10 zorgplichten die de NIS2 heeft vastgesteld in artikel 21 lid 2 en de meldplicht in artikel 23 aangevuld met details uit het concept van de Nederlandse Cyberbeveiligingswet. Deze worden per sector in detail uitgewerkt in nationale wetgeving, alleen voor het gros van de digitale sector gebeurt dit in EU verband. Hiertoe zijn op 17 oktober zogenaamde uitvoeringshandelingen gepubliceerd. Voor onze leden stellen wij een mapping beschikbaar waarin we deze naast de ISO27001:2022 hebben gelegd, deze kan je hier downloaden. Daarnaast bevelen we het NIS2 Control Framework van IT-auditorsvereniging NOREA ook van harte aan als hulpmiddel bij de implementatie.

Deel via:

Jelmer Schreuder

Public policy manager
Neem contact op met
Jelmer Schreuder

Paula Hooyman

Jurist
Neem contact op met
Paula Hooyman

Gerelateerde artikelen

Stap 11: Kijk naar certificeringen en tools

Dit is de elfde en laatste stap voor het starten met de Cyberbeveiligingswet en voor het verbeteren van je cyberweerbaarheid. Bekijk alle stappen in ons Cbw/NIS2...
Cybersecurity

Stap 10: Evalueer en verbeter je cybersecuritymaatregelen

Dit is de tiende stap voor het starten met de Cyberbeveiligingswet en voor het verbeteren van je cyberweerbaarheid. Bekijk alle stappen in ons Cbw/NIS2 stappenplan. Vorige...
Cybersecurity

Stap 9: Ga testen en oefenen

Dit is de negende stap voor het starten met de Cyberbeveiligingswet en voor het verbeteren van je cyberweerbaarheid. Bekijk alle stappen in ons Cbw/NIS2 stappenplan. Vorige...
Cybersecurity