Digitale systemen zijn onmisbaar geworden voor de overheid. Tegelijk nemen cyberdreigingen toe, met risico’s voor dienstverlening, gegevens en continuïteit. Om die risico’s beter te beheersen, is op Europees niveau de NIS2-richtlijn ingevoerd. In Nederland wordt deze richtlijn omgezet in de Cyberbeveiligingswet (Cbw). Begin 2026 is de Cbw nog niet aangenomen, maar invoering wordt in 2026 verwacht.
Voor wie geldt de Cbw?
De Cbw geldt voor ‘essentiële’ en ‘belangrijke’ entiteiten. Ministeries (inclusief de daarbij behorende dienstonderdelen, met uitzondering van de inlichtingen- en veiligheidsdiensten), zelfstandige bestuursorganen van de centrale overheid die voldoen aan de definitie van overheidsinstantie, provincies, gemeenten, waterschappen en openbare lichamen, gemeenschappelijke organen en bedrijfsvoeringsorganisaties ingesteld bij gemeenschappelijke regeling die voldoen aan de definitie van overheidsinstantie, worden van rechtswege aangemerkt als ‘essentiële’ entiteit.
Zorgplicht: passende maatregelen tegen cyberrisico’s
‘Essentiële’ en ‘belangrijke’ entiteiten krijgen een duidelijke zorgplicht. Zij moeten technische, organisatorische en operationele maatregelen nemen om cyberrisico’s te beheersen, incidenten te voorkomen en de gevolgen daarvan te beperken. Deze maatregelen moeten passend en evenredig zijn. Wat passend is, hangt onder meer af van de omvang van de organisatie, de risico’s en de stand van de techniek. De maatregelen moeten worden vastgelegd in beleid.
De zorgplicht wordt verder uitgewerkt in het algemene Cyberbeveiligingsbesluit en sectorale Cyberbeveiligingsregelingen. In de Cyberbeveiligingsregeling voor de sector overheid (die niet geldt voor de waterschappen!) staat bijvoorbeeld dat aantoonbaar moet worden gewerkt volgens onder meer NEN 27002:2022 en de Baseline Informatiebeveiliging Overheid 2 (BIO2).
De zorgplicht omvat ook passende maatregelen bij de verwerving van hardware, software en diensten die betrekking hebben op netwerk- en informatiesystemen. Dat kan ertoe leiden dat in verwervingsprocedures eisen op het gebied van cyberbeveiliging aan leveranciers moeten worden gesteld.
Cyberbeveiliging is een bestuursverantwoordelijkheid
De Cbw maakt cyberbeveiliging expliciet een verantwoordelijkheid van het bestuur. Bestuurders moeten de cyberbeveiligingsmaatregelen goedkeuren en erop toezien dat deze effectief zijn. Daarnaast moeten alle bestuursleden binnen twee jaar (na inwerkingtreding of benoeming) beschikken over voldoende kennis en vaardigheden om cyberrisico’s te herkennen en de maatregelen en gevolgen daarvan te kunnen beoordelen. Deze kennis moet actueel blijven en aantoonbaar zijn, onder meer via certificering. Onder bestuurders verstaat de Cbw onder meer: de minister, het zelfstandige bestuursorgaan van de centrale overheid, gedeputeerde staten, het college van burgemeester en wethouders en het (dagelijks) bestuur van een waterschap of bij gemeenschappelijke regeling ingestelde entiteit.
CSIRT’s en toezicht
Per sector wordt een Computer Security Incident Response Team (CSIRT) aangewezen. Deze teams ondersteunen bij monitoring, preventie en afhandeling van incidenten. In het algemeen wordt de minister van Justitie en Veiligheid (via het Nationaal Cyber Security Centrum) aangewezen, met enkele sectorale uitzonderingen. Voor gemeenten en entiteiten die zijn ingesteld bij een gemeenschappelijke regeling waaraan ten minste een gemeente deelneemt is dat de Informatiebeveiligingsdienst van VNG Realisatie B.V. Voor de waterschappen is het voornemen om CERT WM als CSIRT aan te wijzen.
Daarnaast wordt per sector een bevoegde autoriteit (een Minister) aangewezen voor toezicht en handhaving. Deze kan onder meer verplichten tot het (laten) uitvoeren van een beveiligingsscan of audit, bindende aanwijzingen geven en lasten onder bestuursdwang en boetes opleggen. Aan bestuurders kan een last onder dwangsom of bestuurlijke boete worden opgelegd als zij niet voldoen aan hun verplichtingen op het gebied van kennis en vaardigheden.
Meldplicht bij significante incidenten
Bij significante cyberincidenten geldt een meldplicht. Dat betekent onverwijld, maar in ieder geval: binnen 24 uur een eerste waarschuwing, binnen 72 uur een inhoudelijke melding en binnen één maand een eindverslag. Als een incident gevolgen kan hebben voor de dienstverlening, moeten ook gebruikers daarvan op de hoogte worden gebracht.
Registratie
Essentiële en belangrijke entiteiten moeten zich registreren in een landelijk, niet-openbaar register
