juridisch analyse

Cyberbeveiligingswet vraagt om juridische ondersteuning

De aanstaande Cyberbeveiligingswet noopt tot actie, betogen Ploum-advocaten Jacob Henriquez en Hugo van Aardenne. Juridische ondersteuning kan organisaties helpen te anticiperen, zodat zij straks niet voor verrassingen komen te staan.

De wereld digitaliseert in een razend tempo. Die vooruitgang heeft echter een keerzijde: cyberaanvallen en digitale spionage vormen steeds vaker een reële bedreiging voor vitale onderdelen van onze samen­leving. Waar inlichtingen­diensten al lang aandacht vragen voor deze risico’s, zien we tegen­woordig de gevolgen open en bloot.1,2 Instellingen als de politie, het Openbaar Ministerie, defensie en zelfs universiteiten (zoals de Technische Universiteit Eindhoven) zijn recent slachtoffer geworden van digitale aanvallen. Zulke voorvallen tonen aan dat een digitale inbreuk niet louter een technisch incident is – het raakt de kern van onze maat­schappelijke orde.

In reactie op de digitale dreiging heeft de Europese Unie in december 2022 de NIS2-richtlijn (NIS2) aangenomen als versterking van het gemeenschappelijke kader voor cybersecurity in de interne markt.3 Lidstaten moeten de NIS2 omzetten in nationale wetgeving en Nederland doet dat via de beoogde Cyberbeveiligingswet (Cbw). De oorspronkelijke deadline voor omzetting van de NIS2 in nationale wetgeving, 17 oktober 2024, is niet gehaald. Momenteel wordt de inwerkingtreding verwacht in het tweede kwartaal van 2026.4 Die vertraging is problematisch omdat organisaties zich voor­bereiden op nieuwe verplichtingen, terwijl het benodigde juridische en technische kader nog in ontwikkeling is.

Doel, reikwijdte en verplichtingen van NIS2/​Cbw

Het centrale doel van de NIS2 is het verzekeren van een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU door lidstaten te verplichten maat­regelen te nemen tot versterking van capaciteit, toezicht en samen­werking.5 De richtlijn bevat verder regels over risicobeheer, incidentrapportage, toezicht en sancties.6 Deze systematiek is in het wetsvoorstel Cbw overgenomen en vertaald naar concrete nationale normen en toezichts­instrumenten.

De Cbw onderscheidt, conform de NIS2, twee categorieën entiteiten: essentiële en belangrijke entiteiten. Essentiële entiteiten omvatten sectoren als energie, transport, gezondheid, drinkwater, digitale infrastructuur en overheidsdienst­verlening; belangrijke entiteiten bestrijken onder andere post- en koeriersdiensten, afvalbeheer en diverse digitale dienstverleners. Niet alleen de sector is bepalend, ook omvang (mede­werkers, omzet) en maat­schappelijke impact spelen een rol bij de kwalificatie.7

De verplichtingen die de Cbw oplegt, zijn omvangrijk. Organisaties moeten onder meer risicoanalyses uitvoeren, beveiligings­maat­regelen door de toeleveringsketen heen borgen en personeel trainen in cyberhygiëne. Het Cyberbeveiligingsbesluit legt daarbij verplichtingen op voor logging en audittrails, zodat incidenten onderzocht en corrigerende maat­regelen genomen kunnen worden.8

Daarnaast geldt een meldplicht voor significante incidenten. Deze meldingen verlopen in drie fasen: een waarschuwing binnen 24 uur, een rapportage binnen 72 uur en een eindverslag binnen één maand na het significante incident.9

Niet-naleving kan leiden tot forse sancties. De boetemaxima uit de NIS2 zijn integraal overgenomen in de Cbw: boetes tot € 10 miljoen of 2% van de omzet voor essentiële entiteiten en € 7 miljoen of 1,4% van de omzet voor belangrijke entiteiten.10

De infrasector als voorbeeld

Stel dat een gemeente of waterschap bijvoorbeeld een contract sluit met een aannemer of systeemintegrator voor het beheer van belangrijke infrastructuur zoals tunnels, bruggen of sluizen, dan is vrij snel duidelijk dat dit vitale schakels zijn in het maatschappelijk verkeer; uitval door een cyberaanval kan leiden tot chaos, schade en reputatieverlies. In een situatie waarin de opdracht­gever onder de Cbw valt als essentiële entiteit, volstaat een standaardcontract niet langer: de wet vereist een diepere integratie van de cyber­verplichtingen uit de Cbw.

Het omgaan met ketenrisico’s wordt dan een kernuitdaging. Opdrachtgevers zullen leveranciers en dienstverleners stringente beveiligingseisen opleggen. Dat vertaalt zich in contractuele bepalingen over bijvoorbeeld audits, monitoring, aansprakelijk­heid en interventierechten bij incidenten. Juridische borging is nodig om die afspraken zowel in lijn met de Cbw te brengen als praktisch werkbaar te houden in de operationele keten.

De meldplicht vergroot de complexiteit. Een incident bij een leverancier kan een meldplicht oproepen voor de opdracht­gever, waardoor onduidelijkheid ontstaat over wie rapporteert en wie richting toezicht­houders als aanspreekpunt fungeert. Om problemen te voorkomen, moeten contracten en interne procedures nauwkeurig op elkaar aansluiten. Juridische expertise speelt hierbij een rol in het scherp vastleggen van verant­woordelijk­heden en communicatieprotocollen.

Cyberincidenten brengen bovendien uiteen­lopende vormen van schade met zich mee. Duidelijke afspraken over aansprakelijk­heid, limieten en vrijwaringen zijn dan onmisbaar. Daarnaast verdienen clausules over data en bescherming van intellectueel eigendom aandacht, zeker waar toegang, gebruik of verlies van data een risico vormen. Overmachtsbepalingen en beëindigingsgronden bepalen bovendien of en wanneer een contract kan worden beëindigd bij ernstige incidenten. Bij geschillen over cyber­incidenten is het van groot belang om de feiten zorgvuldig vast te stellen: auditlogs, penetratietesten en rapportages vormen de basis om naleving aan te tonen.

Ook de interne governance komt nadrukkelijk in beeld. Het bestuur van de essentiële of belangrijke entiteit is verantwoordelijk voor naleving van de Cbw en moet actief toezicht houden op de uitvoering van beveiligings­maat­regelen. Van bestuurders wordt verwacht dat zij voldoende kennis hebben van cyberrisico’s en betrokken zijn bij de goedkeuring van beleid en audits. Wanneer zij daarin ernstig tekortschieten, kan persoonlijke aansprakelijk­heid aan de orde zijn. Dat betekent dat kennis van digitale dreigingen en actieve betrokkenheid bij het beveiligingsbeleid en toezicht niet langer vrijblijvend is.11 Voor juridisch dienstverleners ligt hier een rol om bestuur en toezicht te ondersteunen bij het vertalen van deze verant­woordelijk­heden in effectieve governance-structuren en goed geïnformeerde besluit­vorming.

Omdat de Cbw pas later in werking treedt, is het verleidelijk af te wachten. Toch is voorbereiding nood­zakelijk. Het uitvoeren van risico-audits, het herzien van contracten, het trainen van personeel en het ontwikkelen van incidentprocedures kosten tijd. Juridische ondersteuning kan organisaties helpen nu al te anticiperen, zodat zij straks niet voor verrassingen komen te staan.12

Nieuw wetgevend landschap: CRA, DORA en Wwke

Naast de Cbw en de NIS2-richtlijn ontstaat een breder stelsel van weerbaarheids­wetgeving. De Cyber Resilience Act (CRA) stelt verplichtingen aan producten met digitale elementen; zij trad in werking op 10 december 2024 en kent een gefaseerde toepassing, met onder meer een meldplicht vanaf 2026 en volledige naleving vanaf 2027.13 De Digital Operational Resilience Act (DORA) is sinds 17 januari 2025 van toepassing op financiële entiteiten zoals banken, verzekeraars en beleggings­onder­nemingen.14 Daarnaast is bij de Tweede Kamer het voorstel voor de Wet weerbaarheid kritieke entiteiten (Wwke) ingediend, waarmee de CER-richtlijn wordt omgezet in Nederlands recht.15

Niet alle regelingen gelden voor elke entiteit, maar veel organisaties krijgen met meerdere regimes tegelijk te maken. Omdat verplichtingen elkaar deels overlappen en op verschillende momenten in werking treden, neemt de complexiteit toe. Dit onderstreept de behoefte aan deskundige begeleiding om de regels te vertalen naar contracten, governance en de dagelijkse organisatie.

Conclusie

Hoewel politie, justitie en defensie buiten de Cbw vallen, laten de recente incidenten in deze domeinen zien hoe groot de impact van cyberaanvallen kan zijn. Precies daarom is de Cbw relevant voor vitale sectoren: zij geeft een juridisch kader voor risicobeheer, ketenbeveiliging en incidentrespons en sluit aan bij het bredere stelsel van weerbaarheids­wetgeving (CRA, DORA, Wwke/​CER).

De kernvraag is hoe organisaties deze verplichtingen praktisch en consistent toepassen. Dat vergt niet alleen technische en organisatorische inzet, maar ook juridische interpretatie om verant­woordelijk­heden goed vast te leggen en samenhang te bewaren in een snel digitaliserende omgeving. De uitdaging ligt in de complexiteit en verwevenheid van deze regimes. Voor organisaties betekent dit dat voorbereiding onvermijdelijk is en dat er behoefte ontstaat aan deskundige begeleiding bij het vertalen van verplichtingen naar bestuur, contracten en de operationele praktijk.

Noten

  1. https://​www.aivd.nl/​actueel/​nieuws/​2016/​10/​06/​rapport-cyber-security-raad.

  2. Zie ook: Dreigingsbeeld Statelijke Actoren 2025, Aanhoudende dreigingen in tijden van groeiende onzekerheid.

  3. Richtlijn (EU) 2022/​2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maat­regelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, PbEU 2022, L 333/​80.

  4. Digitale Overheid, NIS2-richtlijn (implementatie Nederland), https://​www.digitaleoverheid.nl/​overzicht-van-alle-onderwerpen/​nis2-richtlijn/ (geraadpleegd oktober 2025).

  5. Considerans NIS2, overwegingen 1-5.

  6. Nadere uitwerking bij of krachtens het Cyberbeveiligingsbesluit (ontwerp, consultatieversie februari 2025).

  7. NIS2, bijlage I en II. Vgl. wetsvoorstel Cbw, art. 8-13 en Bijlagen 1 en 2 (categorisering essentiële en belangrijke entiteiten).

  8. Zie voor een volledig overzicht van de zorgplicht: NIS2, art. 21 (risicobeheermaat­regelen). Vgl. wetsvoorstel Cbw, art. 21-24 (zorgplicht, ketenbeveiliging, governance); uitwerking bij of krachtens AMvB: ontwerp-Cyberbeveiligingsbesluit, art. 5-20.

  9. NIS2, art. 23 (meldplicht en termijnen). Vgl. wetsvoorstel Cbw, art. 26-29 (vroegtijdige waarschuwing, 72-uursmelding, eindverslag).

  10. NIS2, art. 34 (sancties en boetemaxima). Vgl. wetsvoorstel Cbw, art. 80 en 87 (boetes essentiële en belangrijke entiteiten, max. € 10 mln. of 2% resp. € 7 mln. of 1,4% omzet).

  11. Zie art. 24 Cbw (zorgplicht bestuur essentiële of belangrijke entiteit).

  12. Voor een uitgebreidere toelichting van de Cbw toegepast op de bouw- en infrasector zie: https://​ploum.nl/​nieuws/​ploum-whitepaper-over-cybersecurity-in-de-bouw-en-infrasector.

  13. Verordening (EU) 2024/​2847 van het Europees Parlement en de Raad van 23 oktober 2024 betreffende horizontale cyberbeveiligingseisen voor producten met digitale elementen (Cyber Resilience Act), PbEU 2024, L 2024/​2847, gepubliceerd 20 november 2024, in werking getreden 10 december 2024. Toepassing gefaseerd: o.a. meldplicht kwetsbaarheden en incidenten vanaf 11 september 2026; volledige naleving producten vanaf 11 december 2027.

  14. Verordening (EU) 2022/​2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele veerkracht in de financiële sector (Digital Operational Resilience Act, DORA), PbEU 2022, L 333/​1, van toepassing vanaf 17 januari 2025.

  15. Wetsvoorstel 36765, Regels ter implementatie van Richtlijn (EU) 2022/​2557 betreffende de weerbaarheid van kritieke entiteiten (Wet weerbaarheid kritieke entiteiten), ingediend bij de Tweede Kamer op 4 juni 2025. Zie: Tweede Kamer, dossier 36765. Richtlijn (EU) 2022/​2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten, PbEU 2022, L 333/​164.