Cyberveilig Nederland heeft gereageerd op de internetconsultatie van het Cyberbeveiligingsbesluit (Cbb). Deze inbreng is tot stand gekomen met input van de werkgroep Public Affairs.
Cyberveilig Nederland (CVNL) heeft met veel belangstelling het concept Cyberbeveiligingsbesluit (Cbb) gelezen. De Cbb is de uitwerking van het voorstel van de Cyberbeveiligingswet (Cbw) die vorig jaar is voorgelegd in een openbare internetconsultatie en waar CVNL ook op heeft gereageerd. De Cbw is de Nederlandse uitwerking van de Europese Network and Information Security Directive (NIS2-richtlijn). Het doel van de NIS2-richtlijn is ‘om een hoog gemeenschappelijk niveau van cyberbeveiliging in de Europese Unie te bereiken, teneinde de werking van de interne markt te verbeteren. Dit wordt beoogt door de digitale weerbaarheid van essentiële en belangrijke entiteiten in de lidstaten te versterken.
CVNL staat zeer positief over de NIS2-richtlijn gezien het gegeven dat nog veel organisaties achterblijven met het nemen van maatregelen om hun eigen (digitale) weerbaarheid te vergroten, terwijl de dreigingen alleen maar zijn toegenomen. Ook de toenemende digitale afhankelijkheden waardoor een incident kan doorwerken in een (digitale) keten maakt de NIS2 naar onze mening noodzakelijk.
CVNL maakt graag gebruik van de mogelijkheid die wordt geboden om op de consultatie van het Cbb te reageren. Hierbij dient opgemerkt te worden dat de leden van CVNL zelf grotendeels niet onder de Cbb komen te vallen. Dat is enerzijds omdat het merendeel van de aangesloten cybersecurity bedrijven niet aan de jaaromzet en het aantal medewerkers komt. Anderzijds omdat cybersecurity organisaties die wel als entiteit (digitale dienstverlener) onder de NIS2 komen te vallen zich moeten conformeren aan de Uitvoeringsverordening (EU) 2024/2690, waardoor de artikelen 6 t/m 16 en 24 van de Cbb niet voor hun van toepassing is. Vanuit CVNL reageren we dan ook in hoeverre cybersecurity bedrijven op grond van de Cbb hun klanten goed kunnen adviseren om aan de eisen van de Cbb (en de Ministeriële Regeling/MR) te voldoen.
Hierbij zien we de volgende aandachtspunten:
1. Risicogebaseerde aanpak komt onvoldoende naar voren
2. Administratieve lasten van (MKB)entiteiten zullen fors toenemen
3. Herzie de artikelen over eisen aan de trainingen bestuurders
4. Zorg snel voor meer duidelijkheid over complexe bedrijfsmodellen
5. De rol/taken van de CSIRT in het kader van Incidentmanagement moet duidelijker
6. Enkele generieke opmerkingen
7. Opmerking over advies Raad van State over Cbw: WOO
Onze hele reactie vind je hier en onze ingediende reactie op de internetconsultatie is hier te vinden.
