Hieronder lees je antwoorden op de meestgestelde vragen. Staat je vraag hier nog niet bij? Neem dan contact met cernis@minienw.nl.
Algemeen
De planning voor de implementatie van de Cyberbeveiligingswet (Cbw/NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke/CER) ziet er als volgt uit:
- De ontwerpwetten en -memories van toelichting zijn begin december voor advies naar de Raad van State gestuurd. De wetten zijn hier in te zien:
- Cyberbeveiligingswet - Documenten bij Cyberbeveiligingswet
- Wet weerbaarheid kritieke entiteiten - Documenten bij Wet weerbaarheid kritieke entiteiten
- De wetsteksten van de Cbw (NIS2) en de Wwke (CER) worden gedetailleerder uitgewerkt in een Algemene Maatregel van Bestuur (AMvB). De internetconsultatie van deze AMvB’s vindt plaats van 21 februari tot 30 maart 2025. Zie ook:
-
Daarna stelt het ministerie van Infrastructuur en Waterstaat (IenW) sectorspecifieke regelgeving op in de vorm van een Ministeriële regeling. Om organisaties alvast meer inzicht te geven in de benodigde beveiligingsmaatregelen is de paragraaf over de zorgplicht alvast uitgewerkt: https://www.internetconsultatie.nl/cyberbeveiligingsbesluit/b1. De ministeriële regeling in z’n geheel gaat op een later moment in consultatie. Dan zijn ook sectorspecifieke bepalingen opgenomen, zoals de drempelwaarden voor het melden van een incident.
- Vanaf 2025 zullen ministeries per sector organisaties aanwijzen die onder de Wet weerbaarheid kritieke entiteiten (CER) vallen. Wanneer IenW een organisatie in de sector aanwijst als kritieke entiteit, ontvangt deze organisatie hierover bericht. Na aanwijzing hebben organisaties nog 10 maanden om aan de wet te voldoen.
- Na ontvangst en verwerking van het advies van de Raad van State gaan de wetten naar de Tweede Kamer, naar verwachting in het eerste kwartaal van 2025. Het streven is dat de wetten in het derde kwartaal van 2025 in werking treden. Dit is ook afhankelijk van de behandeling van de wetsvoorstellen in de Tweede Kamer en Eerste Kamer.
De Tweede Kamer is eerder dit jaar geïnformeerd over de status van het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet (Cbw) en de CER-richtlijn in de Wet weerbaarheid kritieke entiteiten (Wwke). De verwachting is dat beide wetten in het derde kwartaal van 2025 van kracht worden.
Tot de Nederlandse wetten in werking zijn getreden hoeven organisaties zich niet aan de verplichtingen uit de richtlijn te houden. Wel hebben organisaties in bepaalde gevallen bepaalde rechten, vanwege rechtstreekse werking van sommige bepalingen in de NIS2-richtlijn.
Zie ook Implementatie NIS2 en CER in Nederland vertraagd, wat betekent dat voor u?
De NIS2 en de CER zijn EU-richtlijnen die in alle EU-lidstaten in samenhang worden geïmplementeerd. Beide richtlijnen zijn gericht op het weerbaar zijn van organisaties (organisational resilience). In Nederland worden deze richtlijnen omgezet in twee aparte wetten die gelijktijdig in consultatie gaan en gelijktijdig naar de Tweede Kamer worden gestuurd. Het toezicht op beide wetten vindt zoveel mogelijk in afstemming plaats.
Voor de NIS2 geldt dat je er automatisch onder valt als je aan de in de richtlijn beschreven criteria voldoet. Voor de CER worden organisaties door de verantwoordelijke ministeries aangewezen als kritieke entiteit. Organisaties die als kritieke entiteit worden aangewezen onder de CER zijn ook automatisch essentieel onder de NIS2, hoe klein de organisatie ook is. Andersom is dit verband er niet.
Er wordt gewerkt aan een centraal registratiepunt waar je je organisatie kunt registreren. Bij de registratie zijn in ieder geval de volgende gegevens nodig:
- de naam van de organisatie;
- de relevante sector, subsector en soort organisatie (zie ook bijlage I of II);
- het adres van de hoofdvestiging van de organisatie en andere wettelijke vestigingen in de Europese Unie;
- actuele contactgegevens;
- de lidstaten waar de organisatie diensten verleent;
- de IP-bereiken van de organisatie.
Meer informatie over de registratieplicht: Registratieplicht | Over het NCSC | Nationaal Cyber Security Centrum
Checklist voor de NIS2-registratie: Checklist NIS2-registratie | Publicatie | Nationaal Cyber Security Centrum
Ja, iedere organisatie die onder de Cbw komt te vallen moet zich registreren, ook organisaties die nu al met de Wbni te maken hebben. Bij de registratie kun je aangeven voor welke sector je je registreert. Je kunt hier ook meerdere sectoren aangeven als je onder meer dan één sector valt.
Hoe de zorgplicht eruit gaat zien wordt nog nader ingevuld. In hoeverre je voldoet aan de zorgplicht hangt af van het individuele geval. Er kunnen bovenop bestaande standaarden en normen ook sectorspecifieke voorschriften gaan gelden. Op basis van jouw risicoanalyse kom je tot afwegingen en maatregelen. Het gebruik van standaarden op informatie- en/of operationele technologie helpt daarbij. Ook het hebben van een certificering op dit soort standaarden kan bijdragen aan het voldoen aan de zorgplicht.
Ja, gemeenschappelijke regelingen komen ook onder NIS2 te vallen onder de sector overheid.
De NIS2 gaat over cyberweerbaarheid en een zorgplicht waarbij je maatregelen neemt die jouw netwerk en informatiesystemen beschermen ten behoeve van de continuïteit van je bedrijfsprocessen. Dit is ook van toepassing voor de toeleveranciersketen.
Het toezicht van de Inspectie Leefomgeving en Transport (ILT) richt zich op de essentiële of belangrijke entiteit. In hoeverre een verstoring bij een toeleverancier impact heeft of een verstoring kan opleveren voor je netwerk, informatiesystemen en/of bedrijfsprocessen, moet zijn opgenomen in het information security management system (ISMS) met voldoende maatregelen.
De ministeries stellen drempelwaarden vast. Denk bij een drempelwaarde bijvoorbeeld aan de tijdsduur dat een proces verstoord is door een incident, of de (economische) schade die het incident aanricht. Organisaties zijn verplicht incidenten te melden die aan deze drempelwaarden voldoen. De richtlijn verplicht organisaties de melding te doen bij zowel de toezichthouder als de CSIRT (Computer Security Incident Response Team). Er wordt gewerkt aan een centraal meldpunt om het melden te ondersteunen en de administratieve belasting voor organisaties klein te houden. Zodra er meer bekend is, worden organisaties geïnformeerd op deze website.
Wie de toezichthouder wordt is nog niet voor alle sectoren bekend. Voor de sectoren van het ministerie van Infrastructuur en Waterstaat (IenW) zal in de meeste gevallen de Inspectie Leefomgeving en Transport (ILT) toezicht houden.
De afdeling Toezicht Cybersecurity van de ILT voert in eerst instantie proactief reguliere inspecties uit bij essentiële organisaties. Bij belangrijke organisaties zal reactief toegezien worden op meldingen dan wel op signalen. Een eerste inspectie bij een essentiële organisaties is een verkennende inspectie. Hierbij wordt kennisgemaakt en gekeken naar de opzet van het information security management system (ISMS). De volgende keer voert de ILT een verdiepende inspectie uit naar het bestaan en de werking van het managementsysteem voor cybersecurity (CSMS/ISMS). De ILT kijkt naar de opzet, bestaan en werking van het CSMS/ISMS. Vervolgthema’s voor de inspectie worden risicogericht geselecteerd, bijvoorbeeld detectie & respons.
Toezichthouders zijn op grond van de NIS2 verplicht om zoveel mogelijk onderling gecoördineerd toezicht te houden op essentiële organisaties en belangrijke organisaties. Hiermee wordt tot uitdrukking gebracht dat toezicht op de naleving van deze wet zoveel mogelijk in samenhang en op consistente wijze plaatsvindt. Er moeten in het geval van overlap samenwerkingsafspraken worden gemaakt, bijvoorbeeld over welk toezicht prevaleert. Ditzelfde geldt voor overlap met sectorale toezichthouders. Er is voor het opzetten van een goede samenwerking al veel contact tussen bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT), Rijksinspectie Digitale Infrastructuur (RDI) en andere toezichthouders.
Voor verschillende wetten is eigen toezicht geregeld. Dat betekent dat de toezichthouder controleert of een organisatie zich houdt aan de eisen uit die specifieke wet. Organisaties hebben met verschillende wetten te maken met voor iedere wet eisen waarop toezicht is gebaseerd. Momenteel is het toezicht op de cyberweerbaarheid nog niet verweven met specifieke wetgeving en is er sprake van een vrijstaande (losse) inspectie naast de inspecties die al worden uitgevoerd. Dit betekent in veel gevallen dat er sprake is van verschillende toezichthouders. Zij zullen hun inspecties afstemmen. Het streven is om de toezichtlast te beperken. Essentiële organisaties vallen in de NIS2 onder één of meer sectoren. Ook in dat geval is er afstemming met collega’s die op de naleving toezichthouden
Organisaties die behoren tot de sectoren waarvoor de NIS2 geldt en diensten aanbieden in de Europese Unie, maar hier niet zijn gevestigd, zijn verplicht om een vertegenwoordiger in de EU aan te wijzen. Als zij een vertegenwoordiger in Nederland aanwijzen, dan vallen zij onder Nederlandse jurisdictie. Dit betekent dat ze te maken krijgen met een Nederlandse toezichthouder, bijvoorbeeld de Inspectie Leefomgeving en Transport (ILT).
Volgens de richtlijn moeten organisaties elk incident dat grote gevolgen heeft voor de verlening van hun diensten (significant incident) melden. Een incident is significant als het een ernstige operationele verstoring van de diensten veroorzaakt, als het leidt tot grote financiële verliezen of als andere organisaties er ernstig door worden getroffen. In de drempelwaarden wordt in meer detail vastgelegd wat als significant incident wordt gezien.
De eerste melding van een significant incident moet worden gedaan binnen 24 uur nadat het incident heeft plaatsgevonden.
Sector afvalstoffenbeheer
Ondernemingen die afvalstoffenbeheer uitvoeren zoals staat in artikel 3, punt 9, van Richtlijn 2008/98/EG(29), met uitzondering van ondernemingen waarvoor afvalstoffenbeheer niet de voornaamste economische activiteit is. Het gaat dan om ondernemingen die zich bezig houden met inzameling, vervoer, nuttige toepassing en verwijdering van afvalstoffen, toezicht houden op die handelingen en de nazorg doen voor de stortplaatsen na sluiting, en ook alles wat handelaars of makelaars hierbij doen.
De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de sector afvalstoffenbeheer.
Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de sector afvalstoffenbeheer.
Sector chemische industrie
De NIS2 richtlijn omschrijft de chemische sector als volgt: “Ondernemingen die stoffen vervaardigen en stoffen of mengsels distribueren als bedoeld in artikel 3, punten 9 en 14, van Verordening (EG) nr. 1907/2006 van het Europees Parlement en de Raad en ondernemingen die voorwerpen zoals gedefinieerd in artikel 3, punt 3, van die verordening produceren uit stoffen of mengsels.” In de praktijk betekent dit dat ondernemingen die werkzaam zijn in de productie, opslag of distributie van chemische stoffen tot de sector behoren.
De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de chemische sector.
Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de chemische sector.
Sector luchtvaart
Tot de sector luchtvaart behoren de volgende organisaties:
- Luchtvaartmaatschappijen zoals staat in artikel 3, punt 4, Verordening (EG) nr. 300/2008 die voor commerciële doeleinden worden gebruikt;
- Luchthavenbeheerders zoals staat in artikel 2, punt 2, van Richtlijn 2009/12/EG van het Europees Parlement en de Raad (6), luchthavens zoals staat in artikel 2, punt 1, van die richtlijn, met daarbij ook de kernluchthavens die in bijlage II, afdeling 2, bij Verordening (EU) 1315/2013 van het Europees Parlement en de Raad (7) staan, en ook de organisaties die installaties bedienen die je op luchthavens vindt;
- Exploitanten op het gebied van verkeersbeheer en -controle die luchtverkeersleidingsdiensten zoals staat in artikel 2, punt 1, van Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad (8) aanbieden.
De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de sector luchtvaart.
Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de sector luchtvaart.
Sector scheepvaart
Tot de maritieme sector behoren de volgende organisaties:
- Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht, met uitzondering van de individuele vaartuigen die deze bedrijven exploiteren;
- Beheerders van havens, inclusief hun havenfaciliteiten; en organisaties die in havens werken en uitrusting daar beheren;
- Exploitanten van verkeersbegeleidingssystemen (VBS).
De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn voor de maritieme sector.
Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de maritieme sector.
“Bedrijven voor vervoer over water van passagiers en vracht” wordt in de Cyberbeveiligingswet breed opgevat. Dit betekent dat ook rederijen die zich bezighouden met sleepwerkzaamheden en het vervoer van maritiem personeel er onder vallen.
De uitzondering van individuele vaartuigen betekent dat bijvoorbeeld de verplichting om veiligheidsmaatregelen te treffen niet van toepassing is op een individueel schip. De bemanning en de financiële waarde van die schepen moeten wel, waar relevant, worden meegenomen bij het beoordelen of een entiteit gezien wordt als middelgroot of groot.
Sector spoorvervoer
Tot de spoorsector behoren de volgende organisaties:
- Infrastructuurbeheerders zoals staat in artikel 3, punt 2, van Richtlijn 2012/34/EU van het Europees Parlement en de Raad;
- Spoorwegondernemingen zoals staat in artikel 3, punt 1 van Richtlijn 2012/34/EU, inclusief exploitanten van dienstvoorzieningen zoals staat in artikel 3, punt 12, van die richtlijn.
De Inspectie Leefomgeving en Transport (ILT) zal toezichthouder zijn op cybersecurity voor de spoorsector.
Het Nationaal Cyber Security Centrum (NCSC) zal het CSIRT zijn voor de spoorsector.
Sector water
De sector water bestaat uit drinkwater en afvalwater.
- Drinkwater: organisaties die in de sector drinkwater vallen zijn de drinkwaterbedrijven.
- Afvalwater: ondernemingen die stedelijk, huishoudelijk of industrieel afvalwater als bedoeld in artikel 2, onderdelen 1, 2 en 3, van Richtlijn 91/271/EEG19 van de Raad opvangen, lozen of behandelen van stedelijk, huishoudelijk of industrieel afvalwater een niet-essentieel onderdeel van hun algemene activiteit is.
In principe is de Inspectie Leefomgeving en Transport (ILT) de toezichthouder voor de sector water. Aangezien een aantal van de afvalwaterverwerkers als overheidsorganisaties onder NIS2 vallen, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe dit toezicht in de praktijk vorm krijgt zodat toezichthouders zoveel mogelijk samen kunnen werken.
Voor de drinkwaterbedrijven is de CSIRT-functie belegd bij het Nationaal Cyber Security Center (NCSC). Voor de waterschappen is de CSIRT-functie belegd bij het CERT-Watermanagement (CERT-WM). Andere organisaties die vallen onder afvalwater zullen ondersteuning krijgen van het NCSC.
Sector wegvervoer
De NIS2-richtlijn beschrijft twee soorten organisaties die onder de sector wegvervoer vallen: wegenautoriteiten en ITS-aanbieders (aanbieders van intelligente transportsystemen).
- De NIS2-richtlijn omschrijft wegenautoriteiten als volgt: “Wegenautoriteiten zoals gedefinieerd in artikel 2, punt 12, van gedelegeerde Verordening (EU) 2015/962 van de Commissie die verantwoordelijk zijn voor het verkeersbeheer, met uitzondering van overheidsinstanties waarvoor verkeersbeheer of de exploitatie van intelligente vervoerssystemen slechts een niet-essentieel onderdeel van hun algemene activiteit is.” In de praktijk zijn dit in Nederland alle overheden die verantwoordelijk zijn voor het beheer van een deel van het wegennetwerk.
- De NIS2-richtlijn omschrijft ITS-aanbieders als volgt: “Exploitanten van intelligente vervoerssystemen zoals gedefinieerd in artikel 4, punt 1, van Richtlijn 2010/40/EU van het Europees Parlement en de Raad.” Dit gaat om een grote verscheidenheid aan organisaties die onder de ITS-richtlijn onderdeel zijn van de dataketen en die een ITS-dienst of -product beschikbaar stellen dat bijdraagt aan de veiligheid, de efficiëntie en het comfort van de gebruikers en/of om vervoers- en reisdiensten te faciliteren of ondersteunen.
In principe is de Inspectie Leefomgeving en Transport (ILT) de toezichthouder voor de sector wegvervoer. Aangezien wegbeheerders vaak ook als overheidsorganisaties onder NIS2 vallen, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe dit toezicht in de praktijk vorm krijgt zodat toezichthouders zoveel mogelijk samen kunnen werken.
In principe is het Nationaal Cyber Security Center (NCSC) het CSIRT voor de sector wegvervoer. Aangezien wegbeheerders vaak ook overheidsorganisaties zijn, wordt in overleg met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gekeken hoe de ondersteuning voor de medeoverheden wordt vormgegeven. Iedere organisatie wordt ondersteund door maximaal één CSIRT, ook als zij onder meerdere sectoren vallen.
De Cyberbeveiligingswet (Cbw/NIS) gaat ook gelden voor exploitanten van intelligente vervoerssystemen. De ITS-richtlijn definieert intelligente vervoerssystemen als: systemen waarin informatie- en communicatietechnologie wordt toegepast, op het gebied van het wegvervoer, met inbegrip van infrastructuur, voertuigen en gebruikers, en in het verkeers- en mobiliteitsbeheer, alsook voor interfaces met andere vervoerswijzen.
Of je organisatie onder de Cyberbeveiligingswet valt hangt af van de sector waarin je actief bent en de grootte van je organisatie. Onderstaande vragen helpen om te bepalen of een exploitant van intelligente vervoerssystemen zich aan de Cyberbeveiligingswet moet houden.
Sector
- Levert je organisatie bepaalde activiteiten of diensten met data zoals beschreven in de ITS-richtlijn in Annex I en/of III? Het gaat er om dat je organisatie deze data verzamelt, aggregeert, verrijkt en doorgeleidt.
Is het antwoord ja, dan is je organisatie actief in een sector die onder de Cyberbeveiligingswet valt.
Grootte
- Voldoet je organisaties aan één of meerdere van de onderstaande criteria:
- Zijn er 50 personen of meer werkzaam bij je organisatie?
- Is de jaaromzet 10 miljoen euro of hoger?
- Is het jaarlijkse balanstotaal 10 miljoen euro of hoger?
Als je aan één of meer van deze criteria voldoet, moet je organisatie zich aan de Cyberbeveiligingswet houden. Kijk hier hoe je je daar op kunt voorbereiden.
Uitzondering
Als je organisatie de data alleen gebruikt voor de organisatie zelf, of een afgeschermd deel van de data alleen verstrekt aan afnemers van een andere dienst (zoals fleetmanagement of logistiek), dan val je niet onder de sector ITS-dienstaanbieders en is de Cyberbeveiligingswet niet van toepassing. Het kan zijn dat je organisatie actief is binnen meerdere sectoren. Check hier of je onder één van de andere sectoren valt.
Je kunt ook deze vragenlijst invullen: NIS2 Zelfevaluatie NL.
Heb je vragen? Neem contact op met cernis2@minienw.nl. Vermeld bij het onderwerp ‘ITS-dienstaanbieder’.