Op woensdag 15 april jl. heeft de Tweede Kamer ingestemd met het wetvoorstel voor de Cyberbeveiligingswet! Wat volgt is een behandeling van het wetsvoorstel in de Eerste Kamer. Naar verwachting treedt in Q2 2026 de Cyberbeveiligingswet in werking. Dat betekent dat organisaties die onder deze wet vallen, vanaf dat moment aan alle wettelijke verplichtingen moeten voldoen. Het is daarom verstandig om nu al actie te ondernemen en met een laatste check te beoordelen welke zaken u de komende maanden eventueel (met urgentie) dient op te pakken.
De Cyberbeveiligingswet bevat een aantal verplichtingen. In hoofdlijnen bestaat deze uit een zorgplicht, een meldplicht, verschillende governance verplichtingen (incl. opleidingsplicht en risico’s) en een registratieplicht.
Net als de AVG en de AI-Verordening, is de Cyberbeveiligingswet risicogericht. Het voornaamste is dus dat u inventariseert of u zicht hebt op alle IT-en OT-risico’s voor uw organisatie. Heeft u al uw systemen en leveranciers volledig geïnventariseerd? Zijn er risicoanalyses uitgevoerd? En, zijn er plannen opgesteld om hoge risico’s te mitigeren? Zo ja, dan bent u goed op weg. Daarbij is het wel van belang dat het bestuur adequaat toezicht kan houden op dit proces. Uiteraard niet op detailniveau, maar wel genoeg om onder meer op de hoogte zijn van de aanwezige risico’s, de risicobereidheid te kunnen bepalen en besluiten te kunnen nemen over benodigde mitigerende maatregelen.
Daarnaast is het belangrijk dat de benodigde beleidsdocumenten binnen uw organisatie zijn opgesteld, vastgesteld en geïmplementeerd, en dat ondersteunende processen daadwerkelijk functioneren (zoals inzake het continuïteitsplan of het incidentmeldingsproces). Vanuit praktisch perspectief betekent dit ook dat u moet hebben geborgd dat passende technische en organisatorische maatregelen zijn getroffen ter beveiliging van uw IT- en OT-systemen. Denk hierbij aan het toepassen van basis cyberhygiënemaatregelen, het aanpassen of aanvullen van contracten en het nemen van passende maatregelen op het gebied van personeel.
Vergeet daarbij niet de verplichte training voor bestuurders en de verplichting tot het registreren van uw organisatie. Dit zijn quick wins met een duidelijk ‘zwart-wit’-karakter: uw organisatie voldoet wel of niet aan deze wettelijke verplichtingen. Juist daarom is het verstandig deze onderdelen op korte termijn af te ronden.
Heeft u nog openstaande acties, of weet u niet waar u moet beginnen? Dan is op de website van de Rijksoverheid een handig stappenplan te vinden. Daarnaast helpen wij u vanzelfsprekend graag verder. Neem in dat geval gerust contact met ons op.
PS: Twijfelt u of uw organisatie onder de Cyberbeveiligingswet valt? Bekijk dan vooral de informatie die het NCSC hierover beschikbaar heeft gesteld en/of de NIS2 zelfevaluatie van de Rijksoverheid en voel u vrij om bij vragen hierover contact met ons op te nemen.
Wil je elke maand een overzicht van updates en blogs in uw mailbox? Schrijf je dan in voor de nieuwsbrief!
