Nu we de eerste weken van 2026 achter de rug hebben, komt de inwerkingtreding van de Cyberbeveiligingswet (NIS2) dichterbij. Deze wet raakt niet alleen bedrijven en organisaties die onder de Cyberbeveiligingswet (NIS2) vallen, maar ook veel bedrijven en organisaties in de toeleveringsketen. Zij moeten kunnen aantonen dat ze de cyberbeveiliging op orde hebben. NIS2 organisaties zijn namelijk verplicht om naar de cyberrisico’s van hun leveranciers te kijken en zijn verantwoordelijk voor de cyberbeveiliging van hun toeleveringsketen.
De aandacht voor cybersecurity neemt hierdoor gelukkig toe en het versterken van de cyberweerbaarheid van de eigen organisatie wordt steeds vaker op de agenda gezet van bestuurders.
Dat het versterken van de cyberweerbaarheid hard nodig is, blijkt bijvoorbeeld wel uit de Allianz Risk Barometer 2026. Voor het vijfde jaar op rij vormen cyberincidenten wereldwijd het grootste bedrijfsrisico. Ransomware, datalekken en uitval van IT-diensten zijn een groter risico voor bestuurders dan brand, natuurrampen en economische onzekerheid.
Cybersecurity geen feestje meer van alleen IT-specialisten
Met de komst van de Cyberbeveiligingswet (NIS2) is cybersecurity geen feestje meer van alleen IT-specialisten of CISO’s. Bestuurders krijgen een cruciale rol op het gebied van cybersecurity en worden eindverantwoordelijk voor cyberbeveiliging. Zij moeten cyberrisico’s beoordelen, maatregelen goedkeuren en kunnen aansprakelijk worden gesteld als er inbreuken plaatsvinden op de zorgplicht. Bestuurders zijn bovendien verplicht om een training te volgen zodat ze deze verantwoordelijkheid ook daadwerkelijk kunnen invullen.
Cyberbeveiligingswet (NIS2) en de bescherming van persoonsgegevens
Voor de bescherming van persoonsgegevens is de aankomende Cyberbeveiligingswet (NIS2) een belangrijke stap vooruit. De AVG verplicht bedrijven en organisaties al om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. De Cyberbeveiligingswet (NIS2) voegt daar nog een flink aantal maatregelen aan toe die bedrijven en organisaties ten minste moeten nemen om netwerk- en informatiesystemen te beveiligen en incidenten te voorkomen. Deze maatregelen moeten zorgen voor de beveiliging van de netwerk- en informatiesystemen en van de data die in deze systemen worden verwerkt, zoals bedrijfsgeheimen en klantgegevens, en ook persoonsgegevens.
Als persoonsgegevens in netwerk- en informatiesystemen worden verwerkt, en dat is bijna altijd het geval omdat we bijna alle informatie digitaal verwerken, komen de AVG en de Cyberbeveiligingswet (NIS2) bij elkaar. De FG en de privacy officer zullen zich dan ook moeten gaan voorbereiden op de Cyberbeveiligingswet (NIS2).
De FG, de privacy officer en de Cyberbeveiligingswet (NIS2)
Onderwerpen uit de Cyberbeveiligingswet (NIS2) die raken aan privacy en gegevensbescherming zijn onder andere het nemen van maatregelen om de netwerk- en informatiesystemen te beveiligen, het melden van incidenten, ketenverantwoordelijkheid, governance en risicomanagement.
Zorgplichtmaatregelen
De Cyberbeveiligingswet (NIS2) schrijft 10 zorgplicht maatregelen voor die NIS2 organisaties tenminste moeten nemen voor de beveiliging van netwerk- en informatiesystemen, om incidenten te voorkomen en om de gevolgen van incidenten te beperken. Organisaties zijn zelf verantwoordelijk voor het bepalen welke maatregelen passend zijn, de verplichte risicoanalyse vormt hiervoor de basis. Als persoonsgegevens in de netwerk- en informatiesystemen verwerkt worden, moeten de FG en de privacy officer bij het uitvoeren van de risicoanalyse en het bepalen van de passendheid van de maatregelen nauw betrokken worden.
Incidenten en datalekken
De betrokkenheid van de FG en de privacy officer is eveneens van belang bij de afhandeling van incidenten en bij het inrichten van het incident response plan. De Cyberbeveiligingswet (NIS2) verplicht bedrijven en organisaties om significante incidenten binnen 24 uur te melden bij de toezichthouder en de sectorale CSIRT (Cyber Security Incident Response Team).
Als er persoonsgegevens geraakt zijn bij een incident en er dus ook sprake is van een datalek, moet er binnen 72 uur een melding plaatsvinden bij de toezichthouder zoals de AVG dat voorschrijft. Er moet in dit korte tijdsbestek een inschatting van de risico’s voor betrokkenen worden gemaakt en er moet een advies komen over het wel of niet melden van het datalek aan de toezichthouder en aan de betrokkenen. Dit is het werkterrein van de FG en de privacy officer en bij het inrichten van een incident response plan moet hier dan ook rekening mee worden gehouden.
Cursus Cyberbeveiligingswet (NIS2) voor de FG en de privacy officer
Voor de FG en de privacy officer is het belangrijk om goed voorbereid te zijn op de Cyberbeveiligingswet (NIS2). In deze cursus wordt ingegaan op de belangrijkste onderdelen van deze wetgeving, de reikwijdte en de verplichtingen zoals de zorgplicht, de meldplicht en de registratieplicht.
Deelnemers aan de cursus krijgen toegang tot een eigen leeromgeving waar theorie en achtergrondinformatie te vinden is. Tijdens de workshop of het webinar wordt de theorie nader toegelicht, worden praktijkvoorbeelden besproken en is er alle ruimte voor het stellen van vragen.
Bent u geïnteresseerd en wilt u meer weten? Kijk op onze website of neem contact op met onze servicedesk.
Wilt u zich inschrijven, kijk ook op onze website.
Link naar de cursus: https://duthleracademy.nl/cursussen-en-opleidingen/gegevensbescherming-en-privacy/cursus-nis2-voor-fgs-en-pos
