Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Cbweetje: Wie doet wat bij de Cyberbeveiligingswet?

Bij de uitvoering van de Cyberbeveiligingswet krijgen verschillende organisaties verantwoordelijkheden, rechten en plichten. Dit Cbweetje vat dat samen, met als afsluiting wat vanuit de Cyberbeveiligingswet van u als zorgaanbieder verwacht wordt.

Rijksoverheid is wetgever

De Rijksoverheid is de wetgever. Het ministerie van Justitie en Veiligheid coördineert de voorbereidingen voor de Cyberbeveiligingswet en de daaronder vallende Algemene Maatregel van Bestuur (AMvB).

De overige ministeries vertegenwoordigen de belangen uit hun sector en helpen mee bij het maken van de wetgeving. Elk ministerie kan door middel van ministeriële regelingen details voor haar specifieke sector uitwerken. Dit geldt ook voor het ministerie van VWS.

NCSC en Z-CERT hebben elk een eigen CSIRT rol

Het Nationaal Cyber Security Centrum (NCSC) krijgt in de Cyberbeveiligingswet een coördinerende rol als CSIRT, wat staat voor Computer Security Incident Response Team. Het NCSC biedt ondersteuning en coördinatie bij nationale en internationale cyberincidenten, en het uitwisselen van informatie over dreigingen en kwetsbaarheden.

Naast het NCSC worden ook CSIRT's aangewezen voor bepaalde sectoren. Z-CERT krijgt deze sectorale CSIRT-rol voor de gezondheidszorg. Een sectoraal CSIRT heeft volgens de Cyberbeveiligingswet (artikel 17) enkele taken voor de organisaties waarop de wet van toepassing is. Deze taken bestaan uit het waarschuwen voor dreigingen en incidenten en het bieden van ondersteuning bij (cyber)incidenten in hun sector. Alle in de EU aangewezen CSIRT's werken hierin samen.

RDI en IGJ zijn beide toezichthouder

De Rijksinspectie voor Digitale Infrastructuur (RDI) gaat toezicht houden op de naleving van de Cyberbeveiligingswet. Voor de zorgsector is een specifieke toezichthouder aangewezen, de Inspectie voor Gezondheidszorg en Jeugd (IGJ). De IGJ houdt nu al toezicht op digitale zorg en gebruikt daarbij onder andere de NEN 7510 in haar toetsingskader. Het is aannemelijk dat dit zo blijft.

De rol van de Autoriteit Persoonsgegevens verandert niet

De Autoriteit Persoonsgegevens (AP) ziet toe op de correcte naleving van privacywetgeving, zoals bijvoorbeeld de AVG en elementen uit de Wkkgz
(Wet kwaliteit, klachten en geschillen zorg). De rol van de AP verandert door de Cyberbeveiligingswet niet. De AP en de IGJ delen onderling geen
informatie over incidenten. Als er bij u een incident zou optreden dat zowel volgens de Cyberbeveiligingswet als volgens de AVG meldingsplichtig is, dan moet u dat zelf op twee plaatsen melden.

Rechten en plichten voor uw organisatie

Of uw organisatie aan de Cyberbeveiligingswet moet gaan voldoen, hebben we in een eerdere blog uiteengezet. Hoewel de Cyberbeveiligingswet nog niet in werking is getreden, heeft u wel al een aantal rechten van uit de Europese NIS2-regelgeving. Het belangrijkste recht is het recht op ondersteuning van een sectoraal CSIRT (Z-CERT dus!) bij een incident.

U krijgt straks ook een aantal plichten. Die heten registratieplicht, meldplicht en zorgplicht. De registratieplicht houdt in dat u zich straks moet registreren als entiteit die aan de Cyberbeveiligingswet moet voldoen. Dat kan dan in een portaal. Een vergelijkbaar portaal zal ook gebruikt worden voor de meldplicht: u moet bepaalde incidenten verplicht melden bij Z-CERT. Het doel hiervan is enerzijds om u op weg te helpen richting een oplossing en anderzijds om een domino-effect bij andere organisaties te voorkomen. De derde verplichting is de zorgplicht. Die wordt nog in detail uitgewerkt, Het implementeren of verbeteren van processen en maatregelen uit de NEN 7510 is een goede stap om straks beheerst toe te groeien naar het voldoen aan de Cyberbeveiligingswet.

De NEN 7510 is eind 2024 herzien. Deel 2 van de herziene NEN 7510 bevat een handige tabel waarin de eisen uit de NIS2 gekoppeld worden aan de diverse onderdelen van de NEN 7510. Dubbel handig dus om met de nieuwe NEN-norm aan de slag te gaan!