RDI deelt impact Cyberbeveiligingswet
De invoering van de Cyberbeveiligingswet (Cbw), de Nederlandse vertaling van de Europese NIS2-richtlijn, komt steeds dichterbij. Uit data van de Rijksinspectie Digitale Infrastructuur (RDI) blijkt dat de impact op het Nederlandse bedrijfsleven en de overheid groot zal zijn. De online Zelfevaluatietool van de toezichthouder is inmiddels al 22.800 keer volledig ingevuld. De belangrijkste conclusie: maar liefst 58 procent van deze organisaties valt onder de nieuwe cybersecurityregels.
Eerste indruk van de verplichtingen
De Zelfevaluatietool is door de RDI in het leven geroepen om organisaties die producten of diensten leveren in de EU een eerste indruk te geven van hun status onder de aankomende wetgeving. Hoewel de uitkomst geen definitief juridisch besluit is, fungeert het als een handig startpunt voor de voorbereidingen.
De tool maakt onder meer inzichtelijk of een organisatie wordt aangemerkt als ‘essentieel’ of ‘belangrijk’. Dit onderscheid is gebaseerd op de maatschappelijke impact bij eventuele uitval en bepaalt hoe intensief het toekomstige toezicht door de RDI zal zijn.
De inspectie gaat binnen de Cbw toezicht houden op negen specifieke sectoren. Onder de essentiële en belangrijke organisaties in
dit domein vallen onder meer de sectoren Energie, Digitale infrastructuur, Beheer van ICT-diensten, Overheid (met uitzondering van waterschappen), Ruimtevaart, Post- en koeriersdiensten, Vervaardiging, Digitale aanbieders en specifieke onderzoeksorganisaties.
De cijfers op een rij
De geanalyseerde resultaten stammen uit de periode van 1 januari 2023 tot en met 30 september 2025. Naast de 58 procent die onder de wet valt, bleek voor 37 procent van de organisaties de NIS2-richtlijn niet te gelden. Voor de resterende 5 procent moet de definitieve status nog nader worden vastgesteld.
Van de groep organisaties die wél aan de wet moeten voldoen, is de verdeling als volgt:
• 22 procent is aangemerkt als een 'essentiële' organisatie.
• 28 procent valt in de categorie 'belangrijke' organisatie.
• 3 procent krijgt te maken met andere cybersecuritywetgeving die voorrang heeft op de NIS2, zoals de Digital Operational Resilience Act (DORA) voor de financiële sector.
• 5 procent heeft op dit moment nog geen uitsluitsel of de wet op hen van toepassing is.
Drie kerntaken: Registratie, melding en zorg
De RDI benadrukt dat de Cyberbeveiligingswet voor zowel essentiële als belangrijke organisaties dezelfde strikte basisverplichtingen met zich meebrengt. Bedrijven en instanties moeten rekening houden met een drieluik aan taken:
1. De Zorgplicht: Organisaties moeten passende technische, organisatorische en operationele maatregelen nemen. Dit omvat onder meer risicomanagement, incidentdetectie, het opstellen van crisisplannen, audits en het beveiligen van de gehele toeleveringsketen.
2. De Registratieplicht: Entiteiten moeten zich verplicht inschrijven in het nationale entiteitenregister via Mijn.NCSC.nl. Dit kan overigens nu al op vrijwillige basis.
3. De Meldplicht: Bij een significant cyberincident moet dit binnen 24 uur worden gemeld aan het sectorale Computer Security Incident Response Team (CSIRT). Ook moeten eventuele afnemers direct worden geïnformeerd. Deze meldplicht dient tevens als toegangspoort tot directe expertise en hulp bij incidenten.
De RDI adviseert organisaties om niet te wachten tot de wet officieel van kracht is, maar nu al te starten met een eerste risicoanalyse en de resultaten hiervan te bespreken met het bestuur. Hoe eerder de voorbereiding start, hoe sterker de digitale weerbaarheid.
Meer over cybersecurity
Over Witold Kepinski
