Bereid je voor

Registratieplicht

Organisaties zijn wettelijk verplicht zich te registreren in het entiteitenregister. Er is door het Nationaal Cyber Security Centrum (NCSC) een online registratievoorziening ontwikkeld waarin organisaties zichzelf registreren en aanmelden. Sinds 17 oktober 2024 is het mogelijk om vrijwillig te registreren. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op.

Zorgplicht

De Cyberbeveiligingswet schrijft 10 zorgplichtmaatregelen voor waar organisaties ten minste aan moeten voldoen. Organisaties kunnen bovendien kijken naar informatie over aanvullende normen en kaders die gelden in specifieke sectoren. Denk aan de zorg of de overheid. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.

Meldplicht

De richtlijn schrijft voor dat NIS2-organisaties significante incidenten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Er geldt een gefaseerde meldplicht. De eerste melding is een vroegtijdige waarschuwing die binnen 24 uur na waarneming van het incident, plaatsvindt. Het gaat om incidenten die de verlening van de diensten van de organisatie aanzienlijk (kunnen) verstoren. CSIRTs kunnen vervolgens hulp en bijstand verlenen. De drempelwaarden voor significante incidenten worden nog nader uitgewerkt. Voorbeelden van factoren die incidenten tot een significant incident maken zijn de omvang van de financiële verliezen voor betrokkenen en/of het veroorzaken van (operationele) schade aan andere entiteiten dan de getroffen entiteit. Voor het doen van meldingen heeft het NCSC een centraal meldpunt ingericht. Het Meldportaal dat voor het doel van significante meldingen wordt ingericht, is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of van bijna-incidenten.

Toezicht

Op organisaties die onder de Cyberbeveiligingswet vallen wordt toezicht gehouden. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Sancties richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

Wat valt onder meldplicht?

De Cyberbeveiligingswet heeft een meldplicht voor significante incidenten. Voor deze meldingen heeft het Nationaal Cyber Security Centrum een centraal meldpunt ingericht. Zo wordt het doen van een melding bij zowel het CSIRT als de toezichthouder vergemakkelijkt.

Er geldt een gefaseerde meldplicht:

Wat is een significant incident?

Een incident is een significant incident als het: a. en ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken; of b. andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.