Het Cyberbeveiligingsbesluit is in consultatie

De internetconsultatie van het Cyberbeveiligingsbesluit (hierna Cbb) is gestart. En zojuist heeft de Raad van State zijn advies gegeven over het bovenliggende wetsvoorstel. Ik blogde daar al eerder over, maar dit is een mooi moment om even stil te staan bij deze twee regelingen. De Cyberbeveiligingswet en het daarop gebaseerde Cbb vormen de implementatie van de NIS2-richtlijn. Deze richtlijn beoogt een hoog gemeenschappelijk niveau van cyberweerbaarheid te bewerkstelligen.

Het Cbb is vooral interessant omdat het in hoofdstuk 4 nader uitwerkt welke maatregelen een essentiële of belangrijke entiteit moet nemen. Dit wordt de zorgplicht genoemd. De artikelen in hoofdstuk 4 van het Cbb zijn opgenomen in de volgorde waarin ook de NIS2-richtlijn (artikel 21, tweede lid) deze presenteert. Ieder artikel volgt in grote lijnen de volgende opbouw. In het eerste lid is opgenomen dat ten aanzien van een in artikel 21, tweede lid, genoemd onderwerp, beleid moet zijn vastgesteld en moet worden toegepast. In de overige leden wordt dan beschreven waaruit dat beleid in ieder geval moet bestaan, of welke stappen uit dat beleid moeten worden toegepast.

De ministeries van EZ/KGG, LVVN en IenW gaan op onderdelen nog een klein beetje verder en vullen een aantal van deze zorgplicht-artikelen nader in op grond van artikel 19 van het Cbb. Een concept van deze aanvullende regeling zal voor ieder ministerie in een aparte ministeriële regeling landen. Om organisaties gelegenheid te geven om zich ook die laatste set van regels voor te bereiden, hebben de ministeries in deze internetconsultatie het concept bekendgemaakt in deze internetconsultatie. Daardoor kan ook in dit stadium al op die regels gereageerd worden. Het gelijktijdig consulteren van een algemene maatregel van bestuur (amvb) en een preconsultatie van de daarop gebaseerde ministeriële regeling komt niet vaak voor.

Het concept van deze regeling is alleen relevant voor ondernemingen. Publiekrechtelijke entiteiten die voldoen aan het begrip ‘overheidsinstantie’ van de Cyberbeveiligingswet, moeten het nog even doen met de mededeling dat de Baseline informatiebeveiliging overheid versie 2 (BIO-2) op hen van toepassing zal zijn. Voor de sector zorg wordt naar de ISO27001 en de daarop gebaseerde NEN 7510-normen verwezen. Hoe die verplichtingen er precies uit komen te zien, blijft dus even afwachten.

De consultatie is gestart en loopt tot en met 30 maart. Zelf zal ik met veel interesse de reacties lezen op zowel het Cbb, als op het concept van de ministeriële regeling.