Cyberbeveiligingswet in de praktijk: de zorgplicht, ISO-certificering en de rol van het bestuur

Op 23 maart besprak de Tweede Kamer de Cyberbeveiligingswet (‘Cbw’), de Nederlandse implementatie van de Network and Information Security Directive (EU 2022/2555; ‘NIS2-richtlijn’). Streven is nog steeds om de wet dit kwartaal in te voeren. De hack op Odido en de recente hack bij Ajax, Chipsoft, Basic Fit en de gemeente Epe laten zien dat het beveiligen van je informatievoorziening geen overbodige luxe is, maar noodzakelijk om incidenten te voorkomen. Bij de Odido hack zijn van veel mensen persoonsgegevens op het dark web gepubliceerd. Deze persoonsgegevens kunnen worden gebruikt om phishing mails te sturen, bestellingen of abonnementen op uw naam af te sluiten of een poging te doen uw bankaccount over te nemen. Dergelijke cyberincidenten kunnen voorkomen worden met een goede cybersecurity. Daarom zoomen we in deze blog in op de zorgplicht onder de Cbw.

Inmiddels is er vanuit verschillende instanties informatie gedeeld over de Cbw, zoals het Nationaal Cyber Security Centrum en de Rijksinspectie Digitale Infrastructuur (‘RDI’), die voor veel partijen onder de Cbw als toezichthouder zal optreden. De Rijksoverheid adviseert dan ook aan organisaties om nu alvast te beginnen met implementatie van de regels uit de Cbw, omdat de risico’s op cyberincidenten nu al aanwezig zijn.