Cyberbeveiligingswet: steun voor de wet, zorgen over de uitvoering
Op 23 maart vergadert de Tweede Kamer in een wetgevingsoverleg over de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn. NLdigital heeft haar inbreng aangeboden aan de Tweede Kamer. Onze boodschap is tweeledig: wij steunen deze wet van harte én er zijn serieuze aandachtspunten die om parlementaire aandacht vragen voordat de wet in werking treedt.
Onze volledige inbreng voor het wetgevingsoverleg is hier te downloaden:
Een wet die ertoe doet en die zorgvuldigheid verdient
De Cyberbeveiligingswet zal ingrijpen op naar schatting 8.000 tot 10.000 organisaties in Nederland. Voor de digitale sector is de impact dubbel: IT-leveranciers vallen zelf onder de wet als NIS2-entiteit, én zij moeten hun klanten ondersteunen bij het voldoen aan de nieuwe verplichtingen. NLdigital heeft dit wetgevingstraject vanaf de eerste Europese consultaties gevolgd en in iedere fase constructief-kritische bijdragen geleverd.
De sector staat pal achter het doel van de wet: een sterker, weerbaarder digitaal Nederland. Dit maakt het des te belangrijker dat de uitvoering klopt. Wetgeving die op onderdelen juridisch kwetsbaar is of de praktijk onbeheersbaar maakt, ondermijnt uiteindelijk het vertrouwen dat ze juist moet opbouwen.
Vijf aandachtspunten voor het wetgevingsoverleg
1. Interventiebevoegdheid hoort in de wet zelf
Ons grootste zorgpunt betreft de vergaande interventiebevoegdheid die via het Cyberbeveiligingsbesluit (AMvB) voor ministers is gecreëerd. Een AMvB hoort bestaande wettelijke bevoegdheden uit te werken — niet zelfstandig nieuwe bevoegdheden te scheppen. Dat dit artikel bovendien pas ná twee consultatieprocedures en twee adviezen van de Raad van State is toegevoegd, maakt het problematischer.
NLdigital is niet tegen een interventiebevoegdheid bij aantoonbare nationale veiligheidsrisico’s. Maar die bevoegdheid hoort in de wet zelf te staan: met expliciete verankering van het ultimum-remedium-principe, duidelijke beoordelingscriteria, hoor en wederhoor, beroepsmogelijkheden en een nadeelcompensatieregeling. Wij roepen de Kamer op dit te amenderen, of als alternatief te bewerkstelligen dat het Cyberbeveiligingsbesluit uitsluitend via een verplichte voorhangprocedure kan worden gewijzigd.
2. Het web van meldplichten moet beheersbaar blijven
Bij een grootschalig cyberincident zijn IT-leveranciers verplicht tegelijkertijd te melden onder de Cbw (voor de eigen organisatie én in ondersteuning van klanten), de AVG, DORA, de Wwke en later dit jaar ook de CRA bij meerdere toezichthouders en CSIRTs tegelijk. Dat is precies de fase waarin alle aandacht naar het afweren en beheersen van de aanval moet gaan.
NLdigital verwelkomt de Europese Omnibus-vereenvoudigingsvoorstellen op dit punt en roept de Kamer op het kabinet te bewegen constructief mee te werken aan één centraal meldloket met één gestandaardiseerd formulier, en actief in te zetten op Europese harmonisatie van meldverplichtingen.
3. Risico-gebaseerd werkt alleen met goede duiding
De risico-gebaseerde aanpak is de enige juiste benadering voor cybersecuritywetgeving, maar ze schept ook onzekerheid: de uitwerking is voor iedere organisatie anders. Het NCSC en de sectorale toezichthouders hebben tot nu toe een terughoudende rol aangenomen in het duiden van standaarden en certificeringen. Wij roepen hen (en via de Kamer het kabinet) op dat nadrukkelijker te doen: welke standaarden, certificeringen en methoden zijn afdoende, uitgesplitst naar sector, type en omvang?
4. AMvB’s en ministeriële regelingen: geen doolhof voor IT-leveranciers
De wet delegeert veel cruciale details naar AMvB’s en ministeriële regelingen. De koppeling van sectorale regelingen aan de BIO2 (overheid) en de NEN7510 (zorg) wijst in de goede richting. Maar IT-leveranciers die aan meerdere sectoren leveren, moeten nu in meerdere sectorale regimes aantonen compliant te zijn voor wat in essentie vergelijkbare technische maatregelen zijn. Sectorale regelingen mogen hoogstens in zwaarte afwijken van de Europese Uitvoeringsverordening 2024/2690, niet in richting of systematiek.
5. Nederland, neem het voortouw op Europese harmonisatie
Nationale koppen op Europese cybersecurityregelgeving benadelen Nederlandse en in Nederland opererende bedrijven ten opzichte van hun EU-concurrenten en ondermijnen het vestigingsklimaat. Harmonisatie binnen Nederland verloopt beter dan vooraf gevreesd. Europese harmonisatie blijft echter een zorgpunt. Wij roepen de Kamer op het kabinet te verzoeken actief te pleiten voor maximale harmonisatie van NIS2-implementatie tussen lidstaten.
Aan de slag met de Cyberbeveiligingswet?
Nieuw!
Bereid je goed voor op de Cyberbeveiligingswet (NIS2), met ons vernieuwde stappenplan
Cyberbeveiligingswet (NIS2) Stappenplan
Voor wie geldt de Cyberbeveiligingswet?
Het NLdigital stappenplan is bedoeld voor organisaties die direct of indirect onder de Cbw vallen. Daarom is het goed om eerst te bepalen of dit op jou van toepassing is.
Je kan gebruik maken van de NIS2 Zelfevaluatie van de RDI om vast te stellen of je direct onder deze wet gaat vallen. Om vast te stellen of je er indirect mee te maken krijgt, moet je weten of je klanten direct onder de wet vallen: vraag hen dus deze zelfevaluatie uit te voeren om dat duidelijk te krijgen.
In het kort:
- Direct onder de wet:
Je valt direct onder de Cyberbeveiligingswet wanneer je volgens de wet wordt aangemerkt als een ‘essentiële’ entiteit of een ‘belangrijke’ entiteit.
- Indirect onder de wet:
Je valt indirect onder de wet wanneer je leverancier bent van een organisatie die direct onder de Cyberbeveiligingswet valt. In dat geval kan jouw klant eisen stellen in het kader van zijn eigen wettelijke verplichtingen.
Verschil tussen direct en indirect
Het onderscheid tussen direct en indirect is relevant voor de vraag of je:
- Zelf aan de eisen van de Cyberbeveiligingswet moet voldoen
- Jouw klanten moet ondersteunen bij hun naleving
Het onderscheid tussen ‘belangrijk’ en ‘essentieel’ is met name van belang voor de mate van toezicht en de maximale hoogte van eventuele boetes.
Een organisatie kan zowel direct als indirect onder de wet vallen. Dat is het geval wanneer zij zelf onder de wettelijke verplichtingen valt én klanten heeft die eveneens onder de wet vallen. In dat geval kan sprake zijn van verschillende sectorale uitwerkingen. Deze sectorale eisen lijken grotendeels met elkaar in lijn te zijn.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de NIS2-richtlijn. De wet vertaalt de Europese verplichtingen naar nationale regelgeving en bepaalt hoe deze in Nederland worden toegepast.
De Cyberbeveiligingswet tekst wordt vastgesteld via het nationale wetgevingsproces.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn (Network and Information Security Directive 2) is Europese wetgeving die eisen stelt aan cybersecurity en risicobeheersing binnen de Europese Unie. De richtlijn is de opvolger van de eerdere NIS-richtlijn en heeft als doel de digitale weerbaarheid en continuïteit van essentiële en belangrijke sectoren te versterken.
Veelgestelde vragen over de NIS2 gaan in de praktijk over de Nederlandse uitwerking via de Cyberbeveiligingswet. Denk aan vragen als: Voor wie geldt de NIS2-richtlijn? Wat betekent NIS2 voor Nederland? Wanneer is de NIS2 verplicht?
Wat is de status van de Cyberbeveiligingswet?
Wanneer de Cyberbeveiligingswet in werking treedt is nog niet definitief vastgesteld. De verwachting is dat de Cyberbeveiligingswet halverwege het tweede kwartaal 2026 zijn intrede zal doen. Met deze intrede van de Cyberbeveiligingswet zal ook de NIS2-richtlijn midden Q2 van kracht gaan.
Vanuit NLdigital houden we scherp in de gaten welke cybersecurity wetten er (mogelijk) aankomen en wanneer deze in werking treden. In onderstaande tijdlijn houden we dit overzichtelijk bij:
Is NIS2 een certificering?
NIS2 schrijft geen specifieke certificering voor. De wet stelt eisen aan risicobeheersing, beveiligingsmaatregelen en incidentmelding.
Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben getroffen. Sommige organisaties gebruiken bestaande normen, zoals ISO27001, om hier invulling aan te geven.
Het laatste nieuws
Actualisatie ARBIT 2022, NLdigital om inbreng gevraagd
NLdigital lanceert stappenplan voor Cyberbeveiligingswet (NIS2)
Gat tussen IT-markt en instroom onderwijs wordt steeds groter, zorgen bij innovatieve bedrijven
Digitale sector reageert positief op aandacht digitalisering en innovatie in Coalitieakkoord
