Zorgplicht
Organisaties die onder de Cyberbeveiligingswet (Cbw) vallen, hebben een zorgplicht. Dit betekent dat ze passende maatregelen moeten nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de informatie die ze gebruiken, te beschermen. Dat doen organisaties op basis van een risicobeoordeling. De maatregelen voor de zorgplicht worden nader uitgewerkt in de Cyberbeveiligingswet en de lagere regelgeving: het Cyberbeveiligingsbesluit (de Algemene Maatregel van Bestuur onder de Cyberbeveiligingswet) en de ministeriële regelingen vanuit vakdepartementen voor hun sectoren.
Op dit moment werkt het ministerie van BZK aan uitwerking van haar ministeriële regeling. Nadere invulling van de zorgplicht voor de overheid zal gebeuren via de Baseline Informatiebeveiliging Overheid (BIO)2.
Registratieplicht
De Cyberbeveiligingswet verplicht organisaties die onder de wet vallen zich te registreren. Dit wordt de registratieplicht genoemd. Voor deze organisaties geldt een wettelijke verplichting om gegevens aan te leveren voor het entiteitenregister. Organisaties die geregistreerd zijn, ontvangen informatie over cyberdreigingen.
De registratie verloopt via het Nationaal Cyber Security Centrum (NCSC), via een portaal. Door zich te registreren geeft een organisatie aan dat deze onder de Cyberbeveiligingswet valt. Essentiele entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, konden zich al per 17 oktober 2024 op vrijwillige basis registreren bij het NCSC. Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingswet verplicht.
Veel overheidsorganisaties hebben zich ook geregistreerd in het Register voor Overheidsorganisaties (ROO). Een deel van de ingevulde gegevens komen overeen met de gegevens die nodig zijn voor de registratieplicht. Er wordt daarom gewerkt aan een koppeling tussen het ROO en het NCSC-portaal. Hierdoor worden gegevens die al bekend zijn, ingeladen in het NCSC-portaal. Het is wel van belang dat de gegevens in het ROO actueel zijn. Overheidsorganisaties zijn daar zelf verantwoordelijk voor.
Onderdeel van de registratieplicht is ook het registreren van alle internetdomeinen die onder de verantwoordelijkheid van een overheidsorganisatie vallen. Het advies is hiervoor na te gaan welke internetdomeinen al zijn opgenomen in het register voor digitale toegankelijkheid. Dit om te voorkomen dat beide registraties uiteenlopen. Een overheidsorganisatie kan de eigen internetdomeinen beheren via het Register voor Internetdomeinen (RIO). Er wordt gekeken hoe gegevens uit het RIO ook kunnen worden ingeladen in het portaal van het NCSC.
Meldplicht
De Cyberbeveiligingswet schrijft voor dat entiteiten significante cyberincidenten moeten melden bij hun Computer Security Incident Response Team (CSIRT) en hun toezichthouder. Om te voorkomen dat deze melding door entiteiten dubbel moet worden gedaan, gebeurt dit via het NCSC-portaal. Deze stuurt automatisch de melding door naar zowel CSIRT als toezichthouder.
De meldplicht bestaat uit verschillende stappen:
- vroegtijdige waarschuwing: de 1e stap is het doen van een vroegtijdige melding binnen 24 uur.
- vervolgmelding: de 2e stap is het doen van een vervolgmelding binnen 72 uur. Deze update bevat aanvullende informatie over het incident, gebaseerd op de 1e melding.
- eindverslag: de laatste stap is het indienen van een eindverslag uiterlijk 1 maand na de 1e melding. Dit verslag bevat een gedetailleerde omschrijving van het incident, de ernst en de gevolgen ervan.
De meldplicht geldt voor significante incidenten, die de continuïteit van dienstverlening van de entiteit aanzienlijk (kunnen) verstoren. Voorbeelden van factoren die een incident meldingswaardig maken zijn:
- het aantal personen dat door de verstoring is geraakt;
- de tijdsduur van een verstoring;
- de mogelijke financiële schade.
De specifieke drempelcriteria om te kunnen bepalen wanneer sprake is van een significant incident, worden uitgewerkt in de ministeriële regelingen.
Vrijwillige melding
Organisaties kunnen naast de verplichte meldingen van significante incidenten ook vrijwillige meldingen doen via het NCSC-portaal. Bijvoorbeeld organisaties die niet onder de Cyberbeveiligingswet vallen. Deze meldingen dragen bij aan het monitoren van de cyberweerbaarheid van sectoren. Vrijwillige meldingen worden niet gedeeld met de toezichthouder.
Bestuurlijke aansprakelijkheid en training
Bestuurlijke aansprakelijkheid
De NIS2-richtlijn bevat een bepaling over de aansprakelijkheid voor bestuurders wanneer verplichtingen van de richtlijn niet worden nagekomen. Deze bepaling is niet van toepassing voor overheidsinstanties. NIS2 en ook de Cyberbeveiligingswet brengen voor overheidsbestuurders geen nieuwe aansprakelijkheden met zich mee, buiten dat wat al bestond. Bestuurders kunnen nu al bij grove nalatigheid aansprakelijk worden gesteld. Dit betekent dat een bestuurder vervolgd (en veroordeeld) kan worden of een boete kan krijgen om de ontstane schade aan een ander te vergoeden.
Aansprakelijkheid wordt wel eens verward met verantwoordelijkheid, alleen betekent het iets anders. Verantwoordelijkheid wil zeggen dat rekenschap wordt afgelegd over het uitvoeren van een taak, het bereiken van een resultaat of zorg te dragen voor een zaak. De NIS2-richtlijn legt de verantwoordelijkheid voor het weerbaar maken van een organisatie bij het bestuur. Zij zijn verantwoordelijk voor beslissingen over netwerk- en informatiebeveiliging en moeten voldoende kennis hebben om weloverwogen keuzes te maken. Voor de Cyberbeveiligingswet wordt de politieke leiding van overheidsorganisaties aangewezen als het bestuur. Dit besluit is genomen op voordracht van de koepels tijdens de internetconsultatie van de Cyberbeveiligingswet. Het aanwijzen van de politieke leiding in plaats van de ambtelijke leiding sluit beter aan op de Gemeentewet et cetera.
Training bestuurders
De Cyberbeveiligingswet verplicht de leden van het bestuur van organisaties een training te volgen. Door deze training leren bestuurders:
- beveiligingsrisico’s voor netwerk- en informatiesystemen te identificeren;
- risicobeheersmaatregelen te beoordelen;
- gevolgen van die risico’s en maatregelen te beoordelen.
In het Cyberbeveiligingsbesluit, de bij de Cyberbeveiligingswet behorende Algemene Maatregel van Bestuur (AMvB), worden nadere regels over deze training gesteld. Bijvoorbeeld dat er geen eisen worden gesteld aan de trainer om de training te mogen geven. Deze regels hebben als doel organisaties te helpen goed invulling te geven aan de training op een manier die bij organisaties past. Vanaf het moment van inwerkingtreding van de Cyberbeveiligingswet hebben bestuurders maximaal 2 jaar de tijd om aan deze verplichting te voldoen.
Toezicht
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen verplicht toezicht. De Cyberbeveiligingswet schrijft voor dat een onafhankelijke toezichthouder de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht, toetst. Voor de overheid (waterschappen uitgezonderd) wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. De RDI maakt voor het toezicht op de Cyberbeveiligingswet voor de overheid gebruik van bestaande verantwoordingsstructuren. Denk bijvoorbeeld aan de ENSIA-methodiek (Eenduidige Normatiek Single Information Audit) voor gemeenten. Of de informatiebeveiligingsbeelden van rijkspartijen. Dit om de administratieve lasten van het toezicht tot een minimum te beperken.
