Ga direct naar inhoud

Situatie vanaf 17 oktober 2024

De NIS2-richtlijn is sinds 17 oktober 2024 geldig in de Europese Unie. In Nederland is het niet gelukt om deze EU-richtlijn op tijd om te zetten in nationale wetgeving. De verwachting is dat de Cyberbeveiligingswet in het derde kwartaal van 2025 in werking treedt.

Tussen 17 oktober 2024 en de datum van inwerkingtreding van de Cyberbeveiligingswet gelden de plichten, zoals de zorgplicht, meldplicht en registratieplicht, nog niet. Wel hebben organisaties, die van rechtswege vallen onder de NIS2-richtlijn, in die periode enkele rechten door de rechtstreekse werking van een aantal bepalingen uit de richtlijn. Denk hierbij aan het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT).

Dienstverlening National Cybersecurity Centrum (NCSC)

Het NCSC krijgt onder de Cyberbeveiligingswet de rol van nationale en sectorale CSIRT en voert in dat kader vanaf 17 oktober 2024 al een aantal taken en activiteiten uit. Dit doet het NCSC voor haar huidige doelgroepen die vallen onder de Wbni, inclusief de organisaties van CSIRT-DSP. Nieuw voor het NCSC zijn de organisaties die nu niet vallen onder de Wbni, maar straks wel onder de Cyberbeveiligingswet. Voor deze laatste categorie hanteert het NCSC een risico-gestuurde benadering. Dat betekent dat het NCSC op verzoek en afhankelijk van het risico én de impact voor de digitale weerbaarheid, haar diensten levert. Het gaat dan om onderstaande activiteiten en diensten.

  • Op verzoek monitoren van netwerk- en informatiesystemen. Ook geeft het NCSC advies aan organisaties hoe ze het monitoren van systemen zelf kunnen inrichten.
  • Bijstand verlenen in geval van een incident. De specifieke bijstand verschilt per situatie en is afhankelijk van onder andere de (potentiële) impact. De focus ligt te allen tijde op het beperken van schade en het geven van advies ten behoeve van vlot herstel.
  • Meldingen van incidenten of bijna-incidenten ontvangen en verwerken. De meldplicht geldt pas vanaf de inwerkingtreding van de Cyberbeveiligingswet. Toch worden organisaties nadrukkelijk uitgenodigd meldingen te maken, zodat ook andere organisaties zich beter kunnen wapenen tegen digitale aanvallen van buitenaf. Melden is vanaf 17 oktober 2024 mogelijk via een webformulier op www.ncsc.nl, spoedig daarna via een centrale meldfunctionaliteit op mijn.ncsc.nl
  • Vroegtijdige waarschuwingen verstrekken en informatie delen over cyberdreigingen, kwetsbaarheden en incidenten. NIS2-entiteiten kunnen zich registeren op mijn.ncsc.nl voor geautomatiseerde data feeds met kwetsbaarhedeninformatie, doelwit- en slachtoffernotificatie, dreigingsinformatie en beveiligingsadviezen. De beveiligingsadviezen bevatten informatie over specifieke incidenten en, waar mogelijk, een handelingsperspectief voor organisaties.

Registratie in de periode tot inwerkingtreding van de wet

Organisaties kunnen zich vanaf 17 oktober 2024 vrijwillig registreren bij het NCSC. Door middel van registratie krijgen organisaties vroegtijdige waarschuwingen en informatie over cyberdreigingen, kwetsbaarheden en incidenten. Deze registratie is pas verplicht als in Nederland de Cyberbeveiligingswet in werking treedt (derde kwartaal 2025). 

Lees meer over plichten voor organisaties.