Cybersecurity

Europese wet- en regelgeving op het gebied van cybersecurity

Sinds 2013 wordt binnen de Europese Unie (EU) gewerkt aan een strategie voor cyberbeveiliging. Vanuit deze strategie is wet- en regelgeving ontwikkeld die de digitale weerbaarheid van lidstaten en organisaties moet vergroten. Sinds 2022 is dit proces in een stroomversnelling geraakt en zijn verschillende belangrijke richtlijnen en verordeningen aangenomen, waaronder:

NIS2 (Network and Information Security Directive 2, Richtlijn (EU) 2022/2555)

Deze richtlijn had uiterlijk 17 oktober 2024 omgezet moeten zijn in nationale wetgeving. De Nederlandse Cyberbeveiligingswet is op dit moment (oktober 2025) echter nog niet aangenomen.
De NIS2-richtlijn beoogt de cyberweerbaarheid van essentiële en belangrijke entiteiten te harmoniseren en te verhogen via risicobeheermaatregelen, governance-verantwoordelijkheden en incidentmeldingsplichten. Essentiële en belangrijke entiteiten zijn bijvoorbeeld:

• Bepaalde typen ICT-dienstverleners en overheden;
• Zorginstellingen en ondernemingen die actief zijn in sectoren zoals de chemische industrie en de levensmiddelenindustrie.

DORA (Digital Operational Resilience Act, Verordening (EU) 2022/2554)

Deze verordening geldt vanaf 17 januari 2025 voor financiële entiteiten en hun kritieke ICT-leveranciers. DORA heeft als doel de digitale operationele weerbaarheid in de financiële sector te vergroten door uniforme regels voor ICT-risicobeheer, incidentrapportage, geavanceerd testen en toezicht op derde partij ICT-diensten.

CRA (Cyber Resilience Act, Verordening (EU) 2024/2847)

De CRA wordt getrapt van toepassing vanaf 11 juni 2026 en introduceert cybersecurityvereisten voor producten met digitale elementen. Dit omvat eisen voor ontwerp, ontwikkeling, kwetsbaarhedenbeheer, markttoezicht en uniforme CE-conformiteit en meldplichten bij kwetsbaarheden en incidenten.

Daarnaast spelen ook andere Europese regels een rol, zoals de AVG (GDPR) en de AI-verordening (AI Act), die beide vereisen dat passende technische en organisatorische maatregelen worden getroffen ter bescherming van persoonsgegevens en AI-systemen.

Sectorale cyberregels & risico’s

De Europese regelgeving leidt tot uiteenlopende verplichtingen voor organisaties, met name ten aanzien van compliance en documentatie. Denk aan het opstellen en implementeren van beveiligingsbeleid, certificeringsverplichtingen en meldplichten. Ook gelden er in bepaalde gevallen, soms vergaande, vereisten voor contracten met toeleveranciers en hebben organisaties er belang bij om hun eigen verplichtingen waar mogelijk contractueel door te leggen aan toeleverancier, bijvoorbeeld via beveiligingseisen, auditrechten, rapportages, incidentondersteuning en exit- of continuïteitsafspraken.

Naast de algemene Europese wetgeving bestaan er sectorspecifieke regels op het gebied van cyberbeveiliging. Voor overheden geldt bijvoorbeeld de Baseline Informatiebeveiliging Overheid (BIO), waarvan versie 2 op 23 september 2025 is vastgesteld en de zorg gelden NEN-normen en specifieke regelgeving zoals het Besluit elektronische gegevensverwerking door zorgaanbieders en de Regeling gebruik burgerservicenummer in de zorg.

Cybersecurity in de praktijk

Onze advocaten kennen de wet- en regelgeving op het gebied van cyberbeveiliging en beschikken over ruime ervaring met het opstellen van overeenkomsten tussen ICT-dienstverleners en hun afnemers. Wij ondersteunen organisaties bij het doorvertalen van juridische verplichtingen naar uitvoerbare afspraken.

Neem contact met ons op

Heeft u vragen over de wet- en regelgeving op het gebied van cybersecurity? Neem contact op met onze specialisten en ontdek hoe wij uw organisatie kunnen adviseren.

U vindt hier het privacy statement van Nysingh.