Quickscan cybersecurity regelgeving en verplichtingen
Complex landschap aan wetten en regels
Er is een complex landschap ontstaan aan wetten en (sectorale) regels op het gebied van cybersecurity. In aanvulling op al bestaande privacywetgeving (AVG) die verplicht tot passende beveiliging van persoonsgegevens en verplicht melden van datalekken, zijn er extra en deels vergelijkbare verplichtingen geïntroduceerd voor bedrijven en overheden op het gebied van cybersecurity.
Advies
Voor veel bedrijven en overheden is het niet, of onvoldoende, duidelijk aan welke verplichtingen zij nu precies moeten voldoen, en waaruit die bestaan. Onze specialisten staan u graag bij met juridisch advies over welke cybersecuritywetgeving op uw organisatie van toepassing en de praktische gevolgen van de daaruit voortvloeiende verplichtingen. Ook kunnen we u helpen bij het bepalen of een Europese beveiligingscertificaat voor uw organisatie gewenst is en de eventuele aanvraag daarvan.
Overzicht van Europese en nationale wetgeving
Hieronder ter illustratie een – niet uitputtend - overzicht van Europese en nationale wetgeving.
Network and Information Systems Directive 2 (NIS2) en Cyberbeveiligingswet
DE NIS2 een Europese richtlijn die strenge regels stelt aan bedrijven uit diverse sectoren (mits zij bepaalde ‘omvang’ hebben).
De verwachting is dat in 2026 eindelijk de ‘Cyberbeveiligingswet’ (Cbw) in werking treedt. De Cbw implementeert de NIS2-richtlijn, en op grond daarvan krijgen bedrijven een zorgplicht op het gebied van de beveiliging van hun IT-omgeving. Meer specifiek zullen bedrijven actief in bepaalde sectoren en overheidsinstanties(!) passende beveiligingsmaatregelen moeten nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Ook moeten zij significante IT-incidenten moeten melden bij de desbetreffende toezichthouder.
Het is niet gemakkelijk om de NIS2 en de Nederlandse Cbw te doorgronden. Het is complexe wetgeving.
Of je als organisatie valt onder de Cbw hangt af van in welke sector je actief bent en wat jouw omvang is (qua aantal werknemers en jaaromzet). De zorgplicht is uitgewerkt met tien (minimum) beveiligingsmaatregelen die worden opgesomd in de NIS2 en de Cbw, maar er kunnen vanuit de EU of de Nederlandse overheid nadere (sectorale) regels worden gesteld voor bepaalde sectoren en/of type entiteiten. Hetzelfde geldt voor de meldplicht; de NIS2 en Cbw bepalen weliswaar wanneer een incident ‘significant’ is en moet worden gemeld, binnen welke termijn(en) en welke informatie moet worden aangeleverd. Maar het is behoorlijk ruim omschreven met veel ruimte voor interpretatie, en ook hier kunnen en zijn al nadere aanvullende regels gesteld voor bepaalde entiteiten of sectoren.
Het bestuur moet de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Dat niet doen kan mogelijk leiden tot bestuurdersaansprakelijkheid, boetes en sancties (zoals bijvoorbeeld schorsing van een lid van bestuur).
Het is van belang goed en gedegen juridisch advies in te winnen over de NIS2 en Cbw, en onze specialisten bij De Vos & Partners Advocaten helpen u daar graag bij.
DORA (Digital Operational Resilience Act)
Het is van belang dat Europese financiële sector bij ernstige operationele verstoringen veerkrachtig kan blijven functioneren. Vanuit Europa is daarom de DORA geïntroduceerd, een verordening dat een hoog gemeenschappelijk niveau van ‘digitale operationele veerkracht’ tracht te bereiken voor de financiële sector.
De DORA geldt voor bijna alle in de EU gereguleerde financiële entiteiten (o.a. banken, verzekeraars, beleggingsondernemingen, pensioenfondsen, betaaldienstverleners).
De DORA stelt eisen ten aanzien van:
• IT-risicomanagement (implementatie risicoraamwerk);
• Het periodiek testen van digitale weerbaarheid en de beheersing van risico’s bij uitbesteding aan (kritieke) derden (o.a. contractuele eisen);
• Het melden aan de bevoegde autoriteit van ernstige ICT-gerelateerde incidenten (incl. notificatieplicht aan betrokkenen);
De eindverantwoordelijkheid ligt bij het leidinggevend orgaan, en net als bij de NIS2 en (concept) Cyberbeveiligingswet kunnen hoge boetes worden opgelegd bij niet-naleving.
De DORA geldt sinds januari 2025, en vanaf dat moment moeten de regels zijn geïmplementeerd door ondernemingen actief in de financiële sector.
Van belang op te merken is dat de DORA ook geldt voor de ICT-leveranciers van financiële instellingen.
En die als kritiek worden aangewezen door EU: zij komen onder rechtstreeks toezicht te staan van de Europese financiële toezichthouders
CRA (Cyber Resilience Act)
De CRA is een EU-brede regeling voor de (cyber)veiligheid van digitale producten gedurende hun gehele levensduur.
De cybersecurity vereisten uit de CRA gaan – kortgezegd - gelden voor fabrikanten en distributeurs/importeurs van hardware en software. De meeste verplichtingen gelden voor fabrikanten; zij dragen integraal de verantwoordelijkheid voor een veilig product en zijn onder meer verplicht om de conformiteit te beoordelen. Afhankelijk van het type product (regulier, belangrijk of kritiek) gaat dat via self-assessment of beoordeling door een externe partij.
Ook voor importeurs geldt dat ze moeten instaan voor de veiligheid van hun digitale product, en actief moeten controleren of producten wel aan de CRA voldoen. Brengt een importeur het product onder zijn eigen merk op de markt? Dan wordt de importeur beschouwd als fabrikant, en gelden alle CRA-plichten die ook op een fabrikant van toepassing zijn.
Distributeurs moeten alleen passende zorgvuldigheid toepassen. Dat betekent ook dat zij moeten controleren op de aanwezigheid van een CE-markering op het digitale product.
De CRA:
• Stelt eisen aan producten met digitale elementen (i.e. software en hardware, zoals ‘slimme apparaten’)
• Introduceert o.a. een zorgplicht voor fabrikanten m.b.t. cyberveiligheid voor de gehele levensduur (incl. ontwikkelingsfase) en verplichting tot melden kwetsbaarheden en incidenten
• Legt een verplicht op voor het effectief afhandelen van kwetsbaarheden tijdens de levenscyclus en het beschikbaar stellen van beveiligingsupdates voor minimaal 5 jaar
De beveiligingseisen uit de CRA moeten worden toegepast op hardware en software producten die vanaf 11 december 2027 in de EU op de markt worden aangeboden. Maar al vanaf 11 september 2026 geldt voor fabrikanten van deze producten een meldplicht bij actief uitgebuite kwetsbaarheden en ernstige incidenten.
Voor wat betreft toezicht en handhaving wordt e.e.a. nader uitgewerkt in de Nederlandse ‘Uitvoeringswet verordening cyberweerbaarheid’ (thans nog in concept). Vooralsnog zal het toezicht en de handhaving worden belegd bij het Ministerie van EZ; maar in de praktijk zal dat zijn de Rijksinspectie Digitale Infrastructuur (RDI).
De Cybersecurity Act
In het Nederlands ook wel aangeduid als de ‘Cyberbeveiligingsverordening’.
Dankzij de Cyberbeveiligingsverordening krijgt het Agentschap van de Europese Unie voor Netwerk- en Informatiebeveiliging (ENISA) meer taken en middelen. Het doel is onder meer het assisteren van EU-lidstaten bij cyberaanvallen.
Het biedt tevens een kader voor een Europees certificatiesysteem waarmee bedrijven in de toekomst een Europees beveiligingscertificaat kunnen aanvragen voor hun ICT producten-, diensten en processen (die in elke lidstaat wordt erkend). Voor dat doel kunnen ‘cybersecurity certificeringsschema’s’ worden opgesteld. De Europese Commissie (EC) wordt bevoegd om de Europese beveiligingscertificaten vast te stellen voor categorieën van ICT-producten, -diensten en -processen. Ter illustratie: de ‘European Cybersecurity Scheme on Common Criteria’ (“EUCC”) is al aangenomen en regelt de certificering voor ICT-producten.