De Cyberbeveiligingswet (Cbw) is een toekomstige nieuwe Nederlandse wet die organisaties verplicht om hun digitale beveiliging structureel op orde te brengen en te houden. De wet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en is bedoeld om de digitale en economische weerbaarheid van Europese bedrijven in kritische sectoren, te versterken.

In een tijd waarin cyberincidenten steeds geavanceerder en frequenter worden, stelt de Cyberbeveiligingswet duidelijke eisen aan hoe organisaties hun netwerken en informatiesystemen beveiligen, en hoe zij omgaan met incidenten. Waar de eerdere NIS-richtlijn en de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vooral gold voor een beperkte groep vitale aanbieders, vallen er aanzienlijk meer bedrijven onder de Cbw. De wet wordt naar verwachting van kracht in 2026 en vervangt dan de bestaande Wbni. 

Van Wbni naar Cbw: wat verandert er?
Met de overgang van de Wbni naar de Cbw worden de verplichtingen en verantwoordelijkheden rondom cybersecrurity voor bedrijven aangescherpt en duidelijker gemaakt. Waar risicomanagement onder de oude wet al bestond, wordt dit met de Cyberbeveiligingswet een stuk concreter. Organisaties moeten duidelijk inzicht hebben in hun cyberrisico’s en kunnen laten zien wat zij doen om die risico’s te beperken. Dat vraagt om duidelijke keuzes, vastgelegde afspraken en maatregelen die passen bij de organisatie. Denk aan zowel technische beveiliging als duidelijke processen en verantwoordelijkheden binnen het bedrijf. Ook wordt er meer nadruk gelegd op de beveiliging van de toeleveringsketen. Een kwetsbaarheid bij een leverancier kan immers directe gevolgen hebben voor de eigen organisatie.

Daarnaast wordt de meldplicht aangescherpt. Ernstige cyberincidenten moeten binnen 24 uur worden gemeld bij het Nationaal Cyber Security Centrum (NCSC). Tegelijkertijd krijgen toezichthouders, zoals de Rijksinspectie Digitale Infrastructuur (RDI), meer bevoegdheden om inspecties uit te voeren en in te grijpen. In uitzonderlijke gevallen kan dat toezicht zich zelfs richten op individuele bestuurders, waarmee de bestuurlijke verantwoordelijkheid duidelijker wordt vastgelegd.

Lees complete artikel (blog) op de website van Bjorn Lunden.