Met de introductie van de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, groeit de nadruk op digitale weerbaarheid. Organisaties worden verplicht om uitgebreide cybersecurity-maatregelen te nemen. De wet richt zich niet alleen op digitale systemen, maar ook op de fysieke omgeving waarin deze systemen opereren.

Hoewel de wetgeving formeel nog niet volledig is ingevoerd, raadt het Digital Trust Center (DTC) aan om niet af te wachten maar nu al te handelen. Zij publiceerden daarom de 10 zorgplichtmaatregelen waar organisaties verantwoordelijkheid voor moeten nemen.

Wat zijn deze 10 zorgplichtmaatregelen? En waarmee kunt u al beginnen?

1. Risicoanalyse en beveiliging van informatiesystemen
   Breng uw digitale assets en kwetsbaarheden in kaart en stel een plan op om de grootste risico’s gericht aan te pakken.

2. Personeel, toegangsbeleid en assetbeheer
   Zorg voor duidelijke regels rondom toegang tot systemen en beheer van apparaten. Denk aan limieten, wachtwoordbeleid en wie bevoegd is tot wat.

3. Bedrijfscontinuïteit (back-ups, noodplannen)
   Regelvuldig back-ups maken en noodscenario’s oefenen voorkomt dat een incident leidt tot langdurige stilstand.

4. Incidentenbehandeling
   Stel een concreet incident response-plan op: wie doet wat bij een melding, en hoe handelt u effectief?

5. Cyberhygiëne en trainingen
   Basismaatregelen zoals up-to-date systemen, awareness-sessies en phishing-simulaties zijn essentieel voor menselijke verdediging.

6. Veilig ontwikkelen en onderhouden van systemen
   Denk aan updates-patches inbouwen in ontwikkeltrajecten, en reageer snel op ontdekte kwetsbaarheden.

7. Beveiliging van de toeleveringsketen
   Informeer en evalueer leveranciers op hun beveiliging, bijvoorbeeld via vragenlijsten of audits.

8. Gebruik van cryptografie en encryptie
   Bescherm data in rust en tijdens verzending met sterke versleuteling.

9. Multifactorauthenticatie & veilige communicatie
   Verplicht MFA en beveilig communicatiekanalen zoals e-mail, chat en noodsystemen.

10. Evaluatie van maatregelen
    Voer periodiek audits of assessments uit om te checken of uw maatregelen nog effectief zijn.

Registratie, meldplicht en toezicht

Naast de tien zorgplichtmaatregelen uit de Cyberbeveiligingswet gelden er nog drie belangrijke verplichtingen:

1.  Registratieplicht: organisaties die onder NIS2 vallen, moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC).
2. Meldplicht: incidenten die de dienstverlening aanzienlijk verstoren, moeten direct worden gemeld bij de toezichthouder én bij het CSIRT. Deze laatste kan bovendien hulp en ondersteuning bieden. Of een incident meldingswaardig is, hangt onder meer af van de duur van de verstoring, het aantal getroffen personen en de financiële schade.
3. Toezicht: een aangewezen toezichthouder ziet erop toe dat organisaties hun zorg- en meldplicht nakomen. Bij overtredingen kan er handhavend worden opgetreden.

Conclusie: waar te beginnen?

De Cyberbeveiligingswet en NIS2 vragen om structurele aandacht voor digitale weerbaarheid. Voor veel organisaties is het niet altijd duidelijk waar te beginnen: bij een risicoanalyse, bewustwordingstrainingen of technische maatregelen. Het belangrijkste is om nu al de eerste stappen te zetten en niet te wachten tot de wet formeel van kracht wordt.

De MKB Cyber Campus ondersteunt bedrijven hierbij met praktische handvatten, trainingen en advies op maat. Zo weet u zeker dat uw organisatie tijdig voldoet aan de nieuwe verplichtingen en beter beschermd is tegen cyberdreigingen.

Neem gerust contact met ons op om samen te bekijken hoe wij u kunnen helpen bij de voorbereiding op NIS2 en de Cyberbeveiligingswet.