Rechten en plichten Cyberbeveiligingswet

De Cyberbeveiligingswet verplicht organisaties die onder de wet vallen om zich te registreren. Dit wordt de registratieplicht genoemd. Elke organisatie moet zelf nagaan of zij onder deze wet valt. Dit houdt in dat een organisatie beoordeelt in welke sector zij valt en/of zij voldoet aan de ‘size cap’.

De registratie verloopt via het NCSC-portaal, beheerd door het Nationaal Cyber Security Centrum (NCSC). Door zich te registreren, geeft een organisatie aan dat zij onder de Cyberbeveiligingswet valt. De registratieplicht gaat pas in zodra de Cyberbeveiligingswet van kracht wordt, wat naar verwachting in het derde of vierde kwartaal van 2025 zal zijn. Organisaties die geregistreerd zijn, ontvangen informatie over cyberdreigingen.

Om te kunnen registreren moet je inloggen bij het portaal met behulp van e-Herkenning. Via eHerkenning kan de authenticatie voor organisaties worden vastgesteld. eHerkenning is persoonsgebonden en niet overdraagbaar aan anderen. Dit maakt het een zeer veilige toepassing voor inloggen. Wil je inloggen op MijnNCSC met eHerkenning? Vraag dan een machtiging bij de eHerkenning beheerder in jouw organisatie. Alleen deze persoon kan zorgen voor eHerkenning voor MijnNCSC op jouw naam.

Nee, registratie in het NCSC-portaal is op dit moment niet verplicht. Door de vertraagde invoering van de Cyberbeveiligingswet geldt een overgangsperiode van 17 oktober 2024 tot de inwerkingtreding van de wet. Tijdens deze periode hebben organisaties wel rechten, maar nog geen plichten. Meer informatie over deze overgangsperiode lees je hier.

Zodra de Cyberbeveiligingswet van kracht is, zijn organisaties die onder deze wet vallen verplicht om significante cyberincidenten te melden via het NCSC-portaal. De melding wordt vervolgens doorgestuurd naar het sectorale Computer Security Incident Response Team (CSIRT) en de toezichthouder. Voor de zorgsector betreft dit respectievelijk Z-CERT en de Inspectie Gezondheidszorg en Jeugd (IGJ).

Daarnaast kunnen zowel organisaties die niet onder de Cyberbeveiligingswet vallen of waar het cyberincident niet plaatsvindt, ook vrijwillige meldingen doen via het NCSC-portaal. Dit betreft meldingen van niet-significante incidenten. Deze meldingen worden niet doorgestuurd naar de toezichthouder, maar enkel naar Z-CERT. Deze meldingen dragen bij aan het monitoren van de cyberweerbaarheid van de zorgsector en andere sectoren.

De meldplicht geldt alleen voor ‘significante cyberincidenten’. Dit zijn incidenten die:

• Een ernstige verstoring van de dienstverlening of financiële schade voor de organisatie (kunnen) veroorzaken.
• Aanzienlijke materiële of immateriële schade bij andere organisaties (kunnen) veroorzaken.

Dit kan bijvoorbeeld een cyberaanval of een langdurige systeemstoring zijn, die de werking van de organisatie ernstig beïnvloeden of de veiligheid van andere partijen in gevaar brengen.

In de zorgsector kunnen cyberincidenten extra ingrijpend zijn, omdat ze directe gevolgen kunnen hebben voor patiënten en de kwaliteit van zorg. Daarom worden er voor de zorgsector specifieke drempelwaarden vastgesteld om te bepalen wanneer een incident als significant wordt beschouwd. Deze drempelwaarden worden vastgelegd in een ministeriële regeling, die nauw samenhangt met de wet en de algemene maatregel van bestuur. De verwachting is dat deze regeling in het derde of vierde kwartaal van 2025 in werking treedt.

Wanneer je een significant cyberincident meldt via het NCSC-portaal, wordt deze melding doorgestuurd naar Z-CERT en de Inspectie Gezondheidszorg en Jeugd (IGJ).

• Ondersteuning door Z-CERT: Z-CERT helpt bij de afhandeling van het incident. De ondersteuning die zij bieden, hangt af van de ernst en impact van het incident.
• Toezicht door de IGJ: De IGJ beoordeelt de melding en bepaalt of er vervolgacties nodig zijn op het gebied van toezicht.

De IGJ onderzoekt of de organisatie voldoet aan haar wettelijke zorgplicht voor informatiebeveiliging. Dit betekent dat zij onder meer kijkt naar:

• Hoe de organisatie haar informatiebeveiliging heeft ingericht.
• Welke maatregelen zijn genomen om schade te beperken.
• Hoe de organisatie omgaat met het herstellen van incidenten.

Indien nodig kan de IGJ aanvullende informatie opvragen of een verder onderzoek starten. Zo wordt gewaarborgd dat organisaties niet alleen reageren op incidenten, maar ook structureel werken aan een veilige digitale zorg.

Het NCSC verzamelt via hun meldportaal zowel significante meldingen als vrijwillige meldingen van niet-significante incidenten of bijna-incidenten. Dit stelt hen in staat om de cyberweerbaarheid in Nederland te monitoren en tijdig waarschuwingen te geven tegen dreigingen.

Zodra de Cyberbeveiligingswet in werking treedt, worden organisaties die onder deze wet vallen verplicht om significante cyberincidenten te melden. Het meldproces bestaat uit wettelijk vastgelegde stappen voor het melden van een significant cyberincident.

• Vroegtijdige waarschuwing: De eerste stap is het doen van een vroegtijdige melding binnen 24 uur via het NCSC-portaal. Indien het een melding uit de sector zorg betreft wordt de melding doorgestuurd  naar Z-CERT en de Inspectie Gezondheidszorg en Jeugd.
• Vervolgmelding: De tweede stap is het doen van een vervolgmelding binnen 72 uur. Deze update bevat aanvullende informatie over het incident, gebaseerd op de eerste melding.
• Eindverslag: De laatste stap is het indienen van een eindverslag uiterlijk één maand na de eerste melding. Dit verslag wordt ingediend bij de Z-CERT en Inspectie Gezondheidszorg en Jeugd, en bevat een gedetailleerde omschrijving van het incident, de ernst en de gevolgen ervan.

Het is mogelijk dat een CSIRT of toezichthoudende instantie, zoals Z-CERT of de Inspectie Gezondheidszorg & Jeugd, het verzoek bij de organisatie indient voor een tussentijdsverslag. Dit is geen verplichte eis onder de meldplicht, maar het biedt de mogelijkheid voor de CSIRT of toezichthoudende instantie om meer informatie op te vragen in het afhandelen van een incident.

De specifieke vereisten voor het melden van incidenten worden verder uitgewerkt in de wet.

Vanaf 17 oktober 2024 hebben organisaties die onder de Cyberbeveiligingswet gaan vallen bepaalde rechten. Organisaties die onder de Cyberbeveiligingswet vallen kunnen bij Z-CERT terecht voor ondersteuning in het geval van cyberincidenten (incident response).

Incident response betekent dat Z-CERT snel reageert op beveiligingsincidenten, zoals een cyberaanval of datalek. Ze helpen bij het onderzoeken van het incident, het beperken van de schade en het herstellen van de systemen. Organisaties dienen datalekken ook te melden bij de Autoriteit Persoonsgegevens (AP).

Organisaties die onder de Cyberbeveiligingswet vallen hebben een zorgplicht. Dit houdt in dat zij maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen tegen significante incidenten. Significante incidenten zijn gebeurtenissen die ernstige verstoringen in de dienstverlening veroorzaken of aanzienlijke schade, zowel materieel als immaterieel, tot gevolg hebben. Een voorbeeld hiervan is een cyberaanval.

De Cyberbeveiligingswet stelt diverse eisen aan de zorgplicht. Een organisatie moet onder andere een risicoanalyse uitvoeren, de beveiliging van informatiesystemen waarborgen, en beleid en procedures opstellen voor incidentenbehandeling en bedrijfscontinuïteit.
De specifieke vereisten voor de maatregelen onder de zorgplicht worden verder uitgewerkt in de concept Cyberbeveiligingswet en de lagere wetgeving; de algemene maatregel van bestuur (AMvB) en de Ministeriele regeling.

De Cyberbeveiligingswet heeft als doel om organisaties digitaal weerbaarder te maken en daarmee Nederland als geheel. Bestuurders, en met name de Raad van Bestuur, spelen hierin een sleutelrol. Zij zijn verantwoordelijk voor beslissingen over netwerk- en informatiebeveiliging en moeten voldoende kennis hebben om weloverwogen keuzes te maken.

Bestuurders zijn verplicht om actief betrokken te zijn bij de informatiebeveiliging binnen hun organisatie. Als zij hierin tekortschieten, kunnen zij aansprakelijk worden gesteld. Dit geldt met name wanneer ernstige nalatigheid leidt tot een groot cyberincident.

Nalatigheid betekent dat een organisatie niet voldoet aan haar wettelijke verplichtingen op het gebied van informatiebeveiliging. Dit kan bijvoorbeeld gebeuren als:

• Er geen passende beveiligingsmaatregelen zijn getroffen.
• Bestuurders onvoldoende kennis hebben en geen stappen ondernemen om dit te verbeteren.
• Wettelijke verplichtingen, zoals verplichte trainingen, niet worden nageleefd.

Wanneer een organisatie ernstig nalatig is, kan de Inspectie Gezondheidszorg & Jeugd (IGJ) ingrijpen. De IGJ beoordeelt onder andere het risico van de normafwijking en kan haar interventiebeleid inzetten. Daarbij kan de IGJ zo nodig ook handhavend optreden. Dit kan variëren van een waarschuwing tot strengere maatregelen. In uitzonderlijke gevallen kan de IGJ de burgerlijke rechter verzoeken om een bestuurder van een essentiële entiteit te schorsen.

De Cyberbeveiligingswet verplicht leden van de Raad van Bestuur (RvB) om een training te volgen. De specifieke eisen voor deze training worden vastgelegd in de wet en de bijbehorende algemene maatregel van bestuur (AMvB), die naar verwachting in het derde of vierde kwartaal van 2025 van kracht wordt. Vanaf dat moment hebben bestuurders maximaal twee jaar om aan deze verplichting te voldoen.

Deze training helpt bestuurders om beveiligingsrisico’s voor netwerk- en informatiesystemen beter te herkennen. Daarnaast leren zij welke rollen en verantwoordelijkheden binnen hun organisatie bestaan op het gebied van netwerk- en informatiebeveiliging en hoe zij hierin een actieve rol kunnen spelen. Ook krijgen zij inzicht in de juridische consequenties van onvoldoende naleving, waaronder mogelijke hoofdelijke aansprakelijkheid.

De Cyberbeveiligingswet verplicht organisaties om betrokkenen van het cyberincident te informeren over de gevolgen van een significant incident. Daarnaast moeten ze uitleggen welke maatregelen de betrokkenen kunnen nemen bij een cyberincident.

De Inspectie Gezondheidszorg en Jeugd (IGJ) is binnen de Cyberbeveiligingswet aangewezen als toezichthouder voor de zorgsector. De wet bevat verschillende verplichtingen voor organisaties. Dit zijn:

Registratieplicht: Organisaties die onder de wet vallen, moeten zich registreren.

• Meldplicht: Organisaties die onder de wet vallen moeten significante cyberincidenten melden.
• Zorgplicht: Organisaties moeten passende maatregelen nemen om hun informatiebeveiliging op orde te hebben.
• Informatieplicht: Afnemers van diensten van de organisatie moeten op de juiste manier worden geïnformeerd over het significante incident en de daarop te nemen mogelijke maatregelen.

De IGJ controleert of organisaties die onder de reikwijdte van de wet vallen zich aan de verplichtingen houden. Bij essentiële entiteiten kan de IGJ proactief toezicht houden. Dit gebeurt steekproefsgewijs en op basis van risico-inschattingen. Voor belangrijke entiteiten kan de IGJ toezicht houden als zij bewijs, de aanwijzing of informatie heeft van een mogelijke overtreding van de verplichtingen.

Voor toetsing van het voldoen aan de zorgplicht door zorgaanbieders vraagt IGJ deze organisaties tenminste aantoonbaar te werken in overeenstemming met de norm NEN7510. Werken in overeenstemming met deze norm is een bestaande wettelijke verplichting voor alle zorgaanbieders in Nederland. Deze verplichting komt voort uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).

Voor andere organisaties dan zorgaanbieders in de zorgsector (zoals fabrikanten van farmaceutische producten en medische hulpmiddelen) kan voldoen aan de internationale norm voor informatiebeveiliging, ISO27001/2 een manier zijn om aantoonbaar aan de zorgplicht te voldoen.