Neem contact op
Neem contact op

Cyberbeveiligingswet Ondersteuning

Cyberbeveiligingswet (Cbw) Ondersteuning: Het versterken van de digitale weerbaarheid

Met de ondersteuning van Cuccibu voor de Cyberbeveiligingswet (Cbw) krijg je inzicht in de cyberveiligheid van jouw organisatie en voldoe je aan de eisen van deze nieuwe wetgeving. Wij helpen je met een nulmeting om de huidige status te evalueren en bieden begeleiding bij de implementatie van de benodigde maatregelen. We zorgen ervoor dat jouw organisatie effectief omgaat met cyberrisico’s en voldoet aan de aankomende wet- en regelgeving. Zo ben én blijf je in control!

Maak nu een afspraak

 

NIS2 risico- en incidentmanagement

Met trots werken wij onder andere voor

Klant
klant
klant
iai industrial systems
klant
YoungCapital
klant
klant
klant
klant
klant
logo gemeente helmond
klant
Klant
klant
klant

Wat betekent de Cyberbeveiligingswet voor jouw organisatie?

De dreigingen op het gebied van cyberveiligheid nemen toe, en de impact op onze maatschappij en economie wordt steeds groter. Voorbeelden uit de praktijk tonen dat des te meer aan. Organisaties moeten zich voorbereiden op incidenten die de continuïteit van hun essentiële en belangrijke diensten kunnen verstoren. Veel organisaties worstelen met het goed inrichten van hun cyberbeveiliging, zeker nu de regelgeving steeds strenger wordt. In Nederland wordt de Europese NIS2-richtlijn vertaald naar de Cyberbeveiligingswet (Cbw), die voor veel organisaties nieuwe verplichtingen met zich meebrengt.

De Cyberbeveiligingswet is van toepassing op organisaties die actief zijn in bepaalde sectoren en volgens criteria worden gekenmerkt als essentiële of belangrijke entiteit. Deze organisaties moeten voldoen aan verplichtingen zoals de zorgplicht, meldplicht en registratieplicht, en vallen onder toezicht.

Veel organisatie weten niet waar ze moeten beginnen met de implementatie van de Cyberbeveiligingswet, mede doordat de Nederlandse wetgeving nog niet van kracht is. Daarnaast is cyberbeveiliging vaak niet de kernactiviteit, en ontbreekt het aan tijd, kennis en middelen in de organisatie. Het niet goed inrichten van de cyberbeveiliging kan grote gevolgen hebben, zoals datalekken, reputatieschade en financiële verliezen.

Bij Cuccibu begrijpen wij deze uitdagingen als geen ander. Met onze Cbw ondersteuning zorgen wij dat jouw organisatie voldoet aan de eisen uit de Cyberbeveiligingswet, terwijl we de doelen van jouw organisatie niet uit het oog verliezen. Wat kunnen wij doen?

  • Gap-analyse. Een grondige evaluatie om te bepalen waar jouw organisatie staat ten opzichte van de eisen uit de Cyberbeveiligingswet.
  • Begeleiding bij implementatie. Ondersteuning bij de implementatie van de benodigde maatregelen om te voldoen aan de eisen uit de Cyberbeveiligingswet. Dit omvat onder andere het uitvoeren van een risicoanalyse, het opstellen van beleid, procedures en het implementeren van de benodigde beveiligingsmaatregelen (zoals genoemd in de zorgplicht).
  • Sparringspartner. Het fungeren als sparringspartner voor jouw organisatie omtrent de Cyberbeveiligingswet.

Met de Cbw ondersteuning van Cuccibu krijg je inzicht in de huidige cyberveiligheid van jouw organisatie. Door niet te wachten op de inwerkingtreding van de Cyberbeveiligingswet en nu al in actie te komen, beveilig je jouw organisatie niet alleen tegen bestaande cyberrisico’s, maar ben je straks ook goed voorbereid op de komst van deze nieuwe wetgeving. Dit vergroot het vertrouwen van klanten, minimaliseert risico’s en voorkomt ernstige gevolgen zoals een datalek. Zo ben én blijf je in control!

Maak vandaag nog een afspraak en vergroot de digitale weerbaarheid van jouw organisatie!

Maak nu een afspraak

Cuccibu valt op door de no-nonsens cultuur en de prettige manier van zaken doen. Pragmatisch, meedenkend en betrokken

Marcel Slingerland Manager ICT at Reinier de Graaf Groep

In de samenwerking met Cuccibu valt mij de combinatie van professionaliteit en plezier op. Duidelijkheid en transparantie zijn hierbij ondersteunend. Cuccibu is gericht op een duurzame relatie en denkt vergaand mee.

Mevr. drs. P.M.L. (Petra) de Bruijn Lid College van Bestuur SILFO

Meest gestelde vragen (FAQ)

We zetten de meest gestelde vragen over de Cyberbeveilingswet voor je op een rijtje.

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Beiden dienen hetzelfde doel; het vergroten van de digitale weerbaarheid van essentiële of belangrijke entiteiten in de Europese Unie door het vaststellen van strengere eisen op het gebied van cyberbeveiliging. In hoeverre de Cyberbeveiligingswet verschilt van de NIS2 is nog niet bekend omdat de Cbw nog niet gepubliceerd is.

Desondanks adviseert de Rijksoverheid organisaties om niet af te wachten totdat de Cbw in werking treedt. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.

Eind 2022 is de NIS2-richtlijn aangenomen door de Europese Unie. De bepalingen uit de NIS2-richtlijn moeten worden omgezet naar nationale wetgeving. In Nederland wordt de vertaalslag gemaakt in de Cyberbeveiligingswet (Cbw). De deadline hiervoor was 17 oktober 2024. In een kamerbrief van 25 januari 2024 heeft Dilan Yesilgöz (Minister van Jusitie en Veiligheid) laten weten dat het omzetten van de richtlijn in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht. De deadline van 17 oktober is dan ook niet gehaald. De naleving van deze nieuwe richtlijn zal voorlopig nog niet afdwingbaar zijn in Nederland. Naar verwachting treedt de Cbw in het derde kwartaal van 2025 in werking.

Een organisatie valt onder de Cyberbeveiligingswet wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria gekenmerkt worden als essentiële of belangrijke entiteit. De sectoren die onder de Cbw vallen zijn als volgt verdeeld:

  • Sectoren bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
  • Sectoren bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.

Daarnaast bepaalt de omvang van een organisatie of zij een essentiële of belangrijke entiteit is. Bij essentiële entiteiten wordt pro-actief toezicht gehouden op de richtlijn, terwijl bij belangrijke entiteiten alleen toezicht plaatsvindt wanneer er aanwijzingen zijn voor het niet naleven van de richtlijn of wanneer er een incident heeft plaatsgevonden. Dit komt omdat het uitvallen van een essentiële entiteit over het algemeen een zwaardere impact heeft op de economie en samenleving, dan de uitval van een belangrijke entiteit.

  • Essentiële entiteit: een organisatie is een essentiële entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 van de NIS2-richtlijn en wordt aangemerkt als groot (minimaal 250 werknemers OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro).
  • Belangrijke entiteit: een organisatie is een belangrijke entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 en wordt aangemerkt als middelgroot (minimaal 50 werknemers OF een jaaromzet en balanstotaal van meer dan 10 miljoen euro). Of wanneer de organisatie actief is in een sector uit bijlage 2 en wordt aangemerkt als groot of middelgroot.

In principe vallen micro- en kleinbedrijven niet onder de Cyberbeveiligingswet. Een uitzondering zijn de bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of -diensten. Deze bedrijven vallen wel direct onder de Cyberbeveiligingswet. Daarnaast kan een minister, verantwoordelijk voor een bepaalde sector, micro- en kleinbedrijven aanwijzen te voldoen aan de Cyberbeveiligingswet. Bijvoorbeeld als uit de risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.

Tot slot kan het ook voorkomen dat je niet direct aan de Cyberbeveiligingswet hoeft te voldoen, maar wel indirect. Wanneer een organisatie in de toeleveringsketen van een essentiële of belangrijke entiteit opereert, kunnen door deze entiteit beveiligingseisen worden gesteld.

Organisaties die aan de Cyberbeveiligingswet moeten voldoen krijgen te maken met vier verplichtingen, namelijk:

  • Zorgplicht: Organisaties zijn verplicht om zelf een risicobeoordeling te doen. Op basis van deze risicobeoordeling dienen technische, operationele en organisatorische maatregelen getroffen te worden om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
  • Meldplicht: Organisaties dienen binnen 24 uur incidenten, die aanzienlijke gevolgen (kunnen) hebben voor de verlening van hun diensten, te melden bij de toezichthouder. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
  • Registratieplicht: Organisaties die vallen onder de Cyberbeveiligingswet zijn verplicht zich te registeren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.
  • Toezicht: Organisaties komen onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn zoals de zorg- en meldplicht.

Een organisatie die onder de Cyberbeveiligingswet valt heeft een zorgplicht. In de zorgplicht worden de volgende beveiligingsmaatregelen genoemd:

  • Een risicoanalyse en beveiliging van informatiesystemen;
  • (Beleid en procedures over) incidentenbehandeling;
  • Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
  • Beveiliging van de toeleveranciersketen;
  • Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  • Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen;
  • Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
  • Beleid en procedures over het gebruik van cryptografie en encryptie;
  • Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
  • Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekst-communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

In Nederland zal de Rijksinspectie Digitale Infrastructuur (RDI) toezichthouder worden op de volgende sectoren: energie, digitale infrastructuur, ruimtevaart, vervaardiging/manufacturing, digitale aanbieders, overheidsdiensten, post- en koeriersdiensten, onderzoek en beheer van ICT-diensten. Organisaties die actief zijn in de andere sectoren die onder de Cyberbeveiligingswet vallen krijgen toezicht van de betreffende sectorale toezichthouder. De Nederlandsche Bank houdt bijvoorbeeld toezicht op de financiële sector en de Inspectie Gezondheidszorg en Jeugd op de gezondheidszorg.

Het voldoen aan bestaande normenkaders voor informatiebeveiliging vormt een goede basis om invulling te geven aan de Cyberbeveiligingswet. Voor de sector overheidsinstanties biedt bijvoorbeeld de Baseline Informatiebeveiliging Overheid een goed uitgangspunt voor de invulling van de zorgplicht. Voor niet-overheidsorganisaties is het raadzaam voorlopig de ISO 27001 te volgen, tenzij een branche-toezichthouder anders aanbeveelt. Zo kunnen zorgorganisaties de NEN 7510 aanhouden en onderwijsinstellingen het SURF-normenkader. Het voldoen aan een ander normenkader voor informatiebeveiliging betekent overigens niet dat jouw organisatie voldoet aan de Cyberbeveiligingswet. Het werken volgens de bestaande standaarden is mogelijk niet voldoende.

Relevante downloads

NIS2

NIS2 in vogelvlucht - alles wat je moet weten over deze nieuwe richtlijn.

Cyberbeveiligingswet: Het versterken van de digitale weerbaarheid

Met de Cyberbeveiligingswet (Cbw) ondersteuning van Cuccibu krijg je inzicht in de cyberveiligheid van jouw organisatie en voldoe je aan de eisen van de Cyberbeveiligingswet. Wij helpen je met een nulmeting om je huidige status te bepalen en bieden begeleiding bij de implementatie van de benodigde maatregelen. Zo zorgen we ervoor dat je verantwoord en effectief omgaat met cyberrisico’s en voldoet aan de wet- en regelgeving. Zo ben én blijf je in control!

Maak nu een afspraak

"*" geeft vereiste velden aan

Jouw naam en e-mailadres gebruiken wij alleen voor het door jou gevraagde contact. Wil je meer lezen over hoe Cuccibu omgaat met persoonsgegevens? Lees dan hier onze privacy- en cookieverklaring.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.