In zomer van 2026 treedt de Cyberbeveiligingswet (Cbw) in werking. Dit is de nationale wet voor de implementatie van de Europese richtlijn voor cybersecurity en de omgang met cyberincidenten: Network and Information Security directive, of NIS2-richtlijn.
Veel organisaties die actief zijn in de sectoren van het ministerie van Infrastructuur en Waterstaat (IenW) krijgen met de Cyberbeveiligingswet te maken. Het gaat om de sectoren luchtvaart, wegvervoer, spoorvervoer, scheepvaart, drinkwatervoorziening, chemische industrie, en afvalwater- en afvalstoffenverwerking.
Meer over de Cyberbeveiligingswet lees je op de website van het Nationaal Cyber Security Centrum (NCSC): Cyberbeveiligingswet (NIS2-richtlijn). Of lees meer over de NIS2-richtlijn op de website van de Nationaal Coördinator Terrorismebestrijding en Veiligheid.
Organisaties die ‘belangrijk’ of ‘essentieel’ zijn, vallen automatisch onder de Cyberbeveiligingswet. Of een organisatie belangrijk of essentieel is, hangt af van het werk dat ze doen. Hieronder zie je een overzicht van de sectoren en organisaties die vallen onder de verantwoordelijkheid van het ministerie van IenW én zich moeten houden aan de Cyberbeveiligingswet:
- Luchtvaart: luchtvaartmaatschappijen, luchthavens en luchthavenbeheerders, luchtverkeersleidingsdiensten.
- Scheepvaart: havens, havenfaciliteiten, nautische dienstverlening, reders, exploitanten van verkeerbegeleidingssystemen.
- Spoorvervoer: goederenvervoerders, beheer en onderhoud, openbaar vervoer, toeleveranciers.
- Wegvervoer: wegbeheerders, intelligente transportsystemen (ITS-aanbieders)
- Water: drinkwaterbedrijven, bedrijven met eigen waterwinning, drinkwaterlaboratoria, industrieel afvalwater, huishoudelijk afvalwater.
- Chemie: grote chemiebedrijven, opslagbedrijven.
- Afval: verwerkers van vast afval.
- Kritieke entiteiten: organisaties die zijn aangewezen op grond van de Wet weerbaarheid kritieke entiteiten.
Er zijn verschillen tussen organisaties die essentieel zijn en organisaties die belangrijk zijn. Essentiële entiteiten krijgen proactief toezicht. Belangrijke entiteiten krijgen meer reactief toezicht.
Hieronder zie je de verschillen op een rij:
| Essentiële entiteiten | Belangrijke entiteiten |
|---|---|
| Organisaties met minimaal 250 werknemers (fte). | Organisaties met minimaal 50 werknemers (fte). |
| Organisaties met een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro. | Organisaties met een jaaromzet én balanstotaal van meer dan 10 miljoen euro. |
| Organisaties die op grond van de Wet weerbaarheid kritieke entiteiten (Wwke) zijn aangewezen als kritieke entiteit. Deze wet gaat over de fysieke weerbaarheid van organisaties. | Organisaties die horen bij de sectoren in bijlage 2 van de NIS2-richtlijn. Voor IenW zijn dat afvalstoffenbeheer en chemische stoffen. |
Als organisaties de Cyberbeveiligingswet (Cbw) moeten volgen dan hebben ze een aantal verantwoordelijkheden:
- Zorgplicht: Organisaties moeten de beveiliging van hun netwerk- en informatiesystemen op orde hebben. Dit geldt ook voor de beveiliging van de Operationele Technologiesystemen (OT) binnen de organisatie. Ze zijn verplicht om zelf een risicobeoordeling uit te voeren. Nieuw is dat daarbij specifiek aandacht moet zijn voor de risico's die spelen in de afhankelijkheid van anderen. Dit noem je ketenrisico's. Ook moeten ze de hele organisatie in de risicoanalyse meenemen. Op basis van de risicobeoordeling nemen organisaties passende maatregelen om risico’s minder groot te maken, incidenten te voorkomen en snel te kunnen herstellen.
- Registratieplicht: Organisaties die vallen onder de Cyberbeveiligingswet zijn verplicht zich te registreren. Er komt een hiervoor een centraal registratieportaal.
- Meldplicht: Significante incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder en het aangewezen Computer Security Incident Response Team (CSIRT). Een incident moet je melden als bijvoorbeeld een bepaald aantal personen door de verstoring is geraakt of als de verstoring een bepaalde tijd heeft geduurd.
- Ondersteuning: Volgens de NIS2-richtlijn moet een Computer Security Incident Response Team (CSIRT) essentiële en belangrijke organisaties ondersteunen met advies en bijstand. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
- Bestuurlijke aansprakelijkheid: Bestuurders van essentiële en belangrijke organisaties zijn aansprakelijk voor het beleid van hun organisatie. Zij hebben ook een opleidingsplicht. Bestuursleden worden hoofdelijk aansprakelijk als ze de regels niet naleven. Dat betekent dat ze hier als individu op aangesproken kunnen worden. Deze verantwoordelijkheden worden op dit moment verder uitgewerkt.
- Toezicht: Namens het Ministerie van Infrastructuur en Waterstaat speelt de Inspectie Leefomgeving en Transport (ILT) een sleutelrol in het toezicht op de naleving van de NIS2-richtlijn. De toezichthouder controleert of de zorgplicht, registratieplicht en meldplicht worden nageleefd. Dit toezicht is risico-gestuurd. Wil je meer weten? Bekijk hoe de ILT hierop handhaaft.
Is je vraag nog niet beantwoord? Kijk dan bij de veelgestelde vragen. of neem contact met ons op via de contactpagina.
Onze nieuwsbrieven
Wil je op de hoogte blijven van het nieuws en de activiteiten rondom cyberweerbaarheid en de Cbw? Meld je dan nu aan voor onze nieuwsbrieven: Nieuwsbrieven.