De nieuwe Cyberbeveiligingswet en Wet Weerbaarheid Kritieke Entiteiten gaan naar verwachting in het tweede kwartaal van 2026 in. Oorspronkelijk stond de invoering gepland voor het derde kwartaal van 2025. Minister van Weel van Justitie en Veiligheid maakte dit uitstel bekend aan de Tweede Kamer.
Complexiteit zorgt voor jaar extra uitstel
De vertraging komt door de complexiteit van het implementeren van twee Europese richtlijnen. De wetgeving raakt veel verschillende sectoren en organisaties, wat meer tijd vraagt dan verwacht. Ook de internetconsultatie met bedrijven heeft tot aanpassingen geleid die extra tijd kosten. De Europese deadlines zijn al overschreden: beide richtlijnen hadden eigenlijk op 18 oktober 2024 geïmplementeerd moeten zijn.
De Cyberbeveiligingswet in het kort
De cyberbeveiligingswet (Cbw) zorgt voor sterkere digitale beveiliging van essentiële en belangrijke bedrijven. Deze wet implementeert de Europese NIS2-richtlijn. Essentiële bedrijven hebben bij falen een groter maatschappelijke impact: denk aan verstoringen in het betalingsverkeer of de energievoorziening.
Bedrijven die onder de wet vallen, krijgen drie nieuwe verplichtingen:
- Zorgplicht: Je moet analyseren welke beveiligings- en continuïteitsrisico’s er zijn. Denk aan cyberaanvallen, datadiefstal en risico’s in de leveringsketen. Op basis daarvan neem je passende maatregelen.
- Registratieplicht: Zorgt voor een totaaloverzicht van alle essentiële en belangrijke organisaties in Europa.
- Meldplicht: Elk incident dat de betrouwbare werking van je systemen bedreigt, moet binnen 24 uur gemeld worden.
De Wet Weerbaarheid Kritieke Entiteiten
Deze wet richt zich op het verhogen van de weerbaarheid van essentiële dienstverleners tegen allerlei soorten risico’s, niet alleen digitale bedreigingen. Denk bijvoorbeeld ook aan sabotage en natuurrampen. Het doel is om vitale infrastructuur en economische activiteiten te beschermen. Dit is een implementatie van de Europese CER-richtlijn (Critical Entities Resilience Directive).
Ook mkb-bedrijven kunnen geraakt worden
Naar schatting vallen 50.000 bedrijven indirect onder de nieuwe wetgeving. Zij leveren namelijk aan bedrijven waar de nieuwe wetten voor gelden. Ontwikkel je bijvoorbeeld software voor een essentieel bedrijf? Dan ben je verantwoordelijk dat je software geen virussen bevat die hun continuïteit bedreigen.
Het essentiële bedrijf moet jouw dienstverlening betrekken bij hun risicoanalyse. Voor hen is het daarom noodzakelijk dat jij cyberveilig bent. Je kunt met een zelfevaluatie van de overheid bepalen of je onder de wet valt. Deze tool geeft ook aan of je als essentieel of belangrijk wordt gezien.
Start nu al met betere beveiliging
Ook zonder wettelijke verplichting is goede cybersecurity essentieel. Wacht niet tot de wet er is, maar pak cybersecurity nu al aan:
- Inventariseer je risico’s: Welke systemen zijn kwetsbaar? Waar liggen je gevoelige data? Welke leveranciers gebruik je?
- Train je medewerkers: Veel cyberaanvallen beginnen met een fout van een medewerker. Voorlichting werkt.
- Update regelmatig: Zorg dat software en systemen altijd up-to-date zijn.
- Maak back-ups: Regel goede back-ups zodat je snel kunt herstellen na een incident.
Blijf op de hoogte
De minister benadrukt het belang van snelle behandeling door de Tweede Kamer. Het uitstel betekent niet dat de urgentie wegvalt. Op de website van het Nationaal Cyber Security Centrum vind je de laatste informatie over de Cyberbeveiligingswet.
Meer nieuws?
Je leest hier meer actueel nieuws van Clean Totaal.
Bron: MKB Nederland
Beeld: Greta Hoffman
