Ga direct naar inhoud

Zorgplicht, registratieplicht en meldplicht

Zorgplicht

Organisaties die onder de Cyberbeveiligingswet vallen hebben een zorgplicht. Dit houdt in dat zij maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen tegen significante incidenten. Significante incidenten zijn gebeurtenissen die ernstige verstoringen in de dienstverlening veroorzaken of aanzienlijke schade, zowel materieel als immaterieel, tot gevolg hebben. Een voorbeeld hiervan is een cyberaanval.

De Cyberbeveiligingswet schrijft 10 zorgplichtmaatregelen voor waar organisaties ten minste aan moeten voldoen. Organisaties kunnen bovendien kijken naar informatie over aanvullende normen en kaders die gelden in specifieke sectoren. Denk aan de zorg of de overheid. De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.

Tien zorgplichtmaatregelen

  1. Een risicoanalyse en beveiliging van informatiesystemen.
  2. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets.
  3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen.
  4. Incidentenbehandeling.
  5. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging.
  6. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden.
  7. Beveiliging van de toeleveranciersketen.
  8. Beleid en procedures over het gebruik van cryptografie en encryptie.
  9. Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.
  10. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.


De specifieke vereisten voor de maatregelen onder de zorgplicht worden verder uitgewerkt in de concept Cyberbeveiligingswet en de lagere wetgeving; de algemene maatregel van bestuur (amvb) en de Ministeriele regeling.

Het NCSC heeft verschillende adviesproducten ontwikkeld die kunnen helpen om deze maatregelen te nemen. Bekijk hier de NCSC website voor meer informatie. 

Registratieplicht

De Cyberbeveiligingswet verplicht organisaties die onder de wet vallen om zich te registreren. Dit wordt de registratieplicht genoemd. Voor deze organisaties geldt een wettelijke verplichting om gegevens aan te leveren voor het entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid.

De registratie verloopt via het NCSC-portaal, en wordt beheerd door het Nationaal Cyber Security Centrum (NCSC). Door zich te registreren, geeft een organisatie aan dat zij onder de Cyberbeveiligingswet valt. Essentiele entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen, kunnen zich al per 17 oktober 2024 op vrijwillige basis registreren bij het NCSC. Deze registratie is pas na inwerkingtreding van de Cyberbeveiligingsdienst verplicht. Organisaties die geregistreerd zijn, ontvangen informatie over cyberdreigingen.

Registeren kan op mijn.ncsc.nlLees hier wat je nodig hebt om het registratieproces te doorlopen.

Meldplicht

Zodra de Cyberbeveiligingswet van kracht is, zijn organisaties die onder deze wet vallen verplicht om significante cyberincidenten te melden via het NCSC-portaal. De melding wordt vervolgens doorgestuurd naar het sectorale Computer Security Incident Response Team (CSIRT) en de toezichthouder.

Een incident is een significant incident als het: a. en ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken; of b. andere entiteiten heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Hoe ziet het meldproces eruit?
Het meldproces bestaat uit wettelijk vastgelegde stappen voor het melden van een significant cyberincident.

Vergroot afbeelding Gefaseerde meldplicht
  • Vroegtijdige waarschuwing: De eerste stap is het doen van een vroegtijdige melding binnen 24 uur via het NCSC-portaal.
  • Vervolgmelding: De tweede stap is het doen van een vervolgmelding binnen 72 uur. Deze update bevat aanvullende informatie over het incident, gebaseerd op de eerste melding.
  • Eindverslag: De laatste stap is het indienen van een eindverslag uiterlijk één maand na de eerste melding. Dit verslag bevat een gedetailleerde omschrijving van het incident, de ernst en de gevolgen ervan.

Het is mogelijk dat een CSIRT of toezichthoudende instantie, het verzoek bij de organisatie indient voor een tussentijdsverslag. Dit is geen verplichte eis onder de meldplicht, maar het biedt de mogelijkheid voor de CSIRT of toezichthoudende instantie om meer informatie op te vragen in het afhandelen van een incident.

De specifieke vereisten voor het melden van incidenten worden verder uitgewerkt in de wet.

Lees op de website van het NCSC meer over meldplicht.

Vrijwillige meldingen
Daarnaast kunnen zowel organisaties die niet onder de Cyberbeveiligingswet vallen of waar het cyberincident niet plaatsvindt, ook vrijwillige meldingen doen via het NCSC-portaal. Dit betreft meldingen van niet-significante incidenten. Deze meldingen worden niet doorgestuurd naar de toezichthouder. Deze meldingen dragen bij aan het monitoren van de cyberweerbaarheid van sectoren.