Alle
NIS2
nieuws items
NIS2, zorgplicht
3 min

NIS2 zorgplicht uitgewerkt - cyberbeveiligingsbesluit

Het Cyberbeveiligingsbesluit: een verdere uitwerking van de zorgplicht, wat komt er op NIS2 bedrijven af? Het gaat nog om een voorstel dat voor consultatie is aangeboden, het geeft echter een goed beeld welke kant het op gaat.
Gepubliceerd op
14/3/25

NIS2 vereisten verder uitgewerkt

In het Cyberbeveiligngsbesluit (Cbb) worden verschillende vereisten uit NIS2 (cyberbeveiligingswet) verder uitgewerkt. Dit heeft vooral betrekking op de zorgplicht. Welke maatregelen worden verplicht? Het gaat nog om een voorstel dat voor consultatie is aangeboden, het geeft echter een goed beeld welke kant het op gaat.

De zorgplicht

Entiteiten zijn verplicht om de maatregelen (artikelen 6 t/m 18 uit het Cbb te nemen). In de cyberbeveiligingswet worden 10 maatregelen genoemd welke minimaal aanwezig moeten zijn. In het Cyberbeveilgingsbesluit worden deze verder uitgewerkt. Een aantal onderwerpen die hierin opvallen: 

  • Focus op het formeel vaststellen van beleid en procedures. Hiernaast moet het beleid aantoonbaar geïmplementeerd worden, zodat toezicht hierop mogelijk is;
  • Security monitoring: de Cbb heeft eisen op security logging, monitoring en incident response. Weliswaar in de terminologie van "procedures", echter effectieve security monitoring (SIEM) is praktisch onmogelijk op een handmatige manier. In de praktijk zal dit betekenen dat NIS2 organisaties een security monitoring dienst zullen moeten afnemen om aan de vereisten te kunnen voldoen. In de memorie van toelichting wordt dit ook aangegeven (security monitoring kan worden uitbesteed). Het is daarbij aan te bevelen om de security monitoring dienst van een onafhankelijke partij af te nemen (en niet als een extra dienst van de bestaande IT leverancier bijvoorbeeld);
  • ISMS: organisaties moeten een management systeem implementeren om security maatregelen te managen. Het formaat is niet voorgeschreven, dit kan dus in Excel, of in een speciaal GRC systeem afhankelijk van de complexiteit en grootte van de organisatie;
  • Periodiek testen: periodiek testen komt op verschillende onderdelen terug, zoals het testen van backup restores, business continuity plannen en crisis management scenario's;
  • Toeleveranciers: de eisen zijn verder uitgewerkt, onder andere het maken van contractuele afspraken met toeleveranciers over cyber security (waar mogelijk) en zorgen dat deze afspraken worden nagekomen; Leveranciers van ICT diensten moeten bewijs kunnen leveren dat ze voldoen aan cybersecurity vereisten;
  • IT staat niet op zichzelf: IT risico's staan niet los van andere risico's, en moet daarom als onderdeel van een brede risico management aanpak worden gezien. Dit is ook aan te bevelen voor bv. Business Continuity Management en Leveranciersmanagement. Neem niet alleen impact op IT en IT leveranciers mee, maar kijk naar alle risico's welke een impact op je bedrijfsvoering kunnen hebben.
  • PAM - Privileged Access Management: de ministeriële regeling beschrijft "speciale toegangsrechten welke op basis van de noodzaak en per gebeurtenis aan gebruikers worden toegekend". Dit gaat uit van Privileged Access Management.
Leveranciers van ICT diensten moeten kunnen aantonen dat zij voldoen aan cybersecurity vereisten (van hun klanten)

Boardroom training

De cbb werkt naast de zorgplicht, ook de vereisten voor training van bestuurders uit. Naast de inhoudelijke eisen (wat moet er in de training worden behandeld), is een opvallende eis dat de trainer onafhankelijk moet zijn. Onafhankelijk houdt in dat de training niet gegeven kan worden door de eigen CISO / information security officer. De CISO kan wel aanwezig zijn bij de training, voor het geven van context van de organisatie.

De trainer van de boardroom training is onafhankelijk, dit betekent dat de CISO de training niet kan geven, hij/zij kan wel aanwezig zijn voor het geven van context.

Scope

De uitwerking geldt voor alle entiteiten welke onder NIS2 vallen, met de volgende uitzonderingen (de "IT Sectoren"). Hiervoor is een aparte uitwerking opgesteld onder EU regel 2024/2690: 

  • Digitale infrastructuur (DNS, TLD registers, cloud services, data center services, CDN's en trust service providers);
  • Beheerde diensten (managed ICT services en managed security services);
  • Digitale aanbieders (marktplaatsen, zoekmachines en sociale netwerken).

De uitzondering gaat specifiek om de uitwerking van de zorgplicht (artikel 6 t/m 16) en de criteria voor significante incidenten (artikel 24). De overige artikelen zijn dus wel van toepassing (zoals de eisen voor bestuurders / boardroom training).

Voor een aantal sectoren bestaan al nader uitgewerkte regelingen, die voor het grootste deel overeenkomen of uitgebreider zijn. Op deze sectoren is het Cyberbeveiligingsbesluit echter wel van toepassing, het is dus aan de organisatie zelf om te beoordelen of hun huidige implementatie voldoet aan het cyberbeveiligingsbesluit. Het Cbb laat daarnaast de mogelijkheid aan individuele ministeries om later nog met nadere regels te komen, voor een sector, subsector of soort entiteit. 

Nieuwsbrief
Ontvang 1 x per maand een korte update over digitale weerbaarheid.
Lees onze privacy policy.
Bedankt voor uw inschrijving!
Oops! er ging iets mis bij het versturen.
Alle nieuwsitems

Neem contact op

Heeft u vragen? Wij staan u graag te woord en nemen snel contact op.
Bedankt, uw bericht is ontvangen!
Oeps, er is iets mis gegaan. Probeer het a.u.b. nog een keer.