Het toepassingsgebied van de Cyberbeveiligingswet

Na de hack op het Openbaar Ministerie heeft er in de zomer van 2025 nog een grote hack plaatsgevonden, ditmaal op medisch laboratorium Clinical Diagnostics. Bij de hack zijn de medische gegevens van bijna een half miljoen vrouwen gestolen. Dergelijke organisaties in de gezondheidssector vallen mogelijk onder het toepassingsbereik van de aankomende Cyberbeveiligingswet (“Cbw”).

In deze blog zoomen we daarom in op dit toepassingsbereik en bespreken we welke entiteiten straks moeten voldoen aan de Cbw.

Stap 1: vaststellen essentiële en belangrijke entiteiten

De Cbw vormt een implementatie van de NIS2-Richtlijn. De verplichtingen in de NIS2-richtlijn gelden voor essentiële en belangrijke entiteiten. Dit zijn entiteiten die actief zijn in sectoren met een bijzonder hoog maatschappelijk of economisch belang, zoals bijvoorbeeld energiebedrijven, datacenters en ziekenhuizen. Entiteiten die in ieder geval als essentieel of belangrijk worden beschouwd zijn opgenomen in Bijlage I en II bij de NIS2-Richtlijn.

De verschillende sectoren die onder het toepassingsbereik van de Cbw vallen zijn in bijlage 1 en 2 van de Cbw opgenomen. De bijlagen komen grotendeels overeen met de bijlagen uit de NIS2-richtlijn:

• Entiteiten in de volgende sectoren kunnen kwalificeren als essentiële entiteiten (bijlage 1 Cbw):
• Energie (elektriciteit, gas, olie);
• Drinkwatervoorziening;
• Vervoer (luchtvaart, spoor, scheepvaart, wegvervoer);
• Gezondheidszorg (ziekenhuizen, laboratoria, klinieken);
• Digitale infrastructuur (cloud, datacenters, internetknooppunten);
• Overheidsorganisaties en publieke administratie; en
• Financiële sector (banken, marktinfrastructuren, verzekeringen).
• Entiteiten in de volgende sectoren kunnen kwalificeren als belangrijke entiteiten (bijlage 2 Cbw):
• Post- en koeriersdiensten;
• Voedselproductie, verwerking en distributie;
• Chemische industrie;
• Afval- en afvalwaterbeheer; en
• Digitale platforms en marktplaatsen.

Stap 2: vaststellen omvang van de organisatie

Of een entiteit onder de Cbw valt, hangt niet alleen af van de sector, maar ook van de omvang van de organisatie. De Cbw maakt een onderscheid tussen micro- en kleine, middelgrote en grote organisaties:

Stap 3: is een uitzondering of bijzondere bepaling van toepassing?

Ongeacht het type sector of de omvang van de entiteit, bepaalt de Cbw voor sommige entiteiten dat zij alsnog onder het toepassingsbereik van de Cbw vallen of juist niet.

De volgende entiteiten kwalificeren altijd als essentiële entiteit:

• Overheidsinstanties, zoals ministeries, provincies, gemeenten en waterschappen. Overheidsinstanties die hoofdzakelijk actief zijn op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving vallen echter buiten het toepassingsbereik van de Cbw. Het gaat bijvoorbeeld om het ministerie van Defensie, de MIVD, de AIVD, de politie, het Openbaar Ministerie en de veiligheidsregio’s. Deze organisaties zijn uitgezonderd omdat hun digitale beveiliging al is geregeld via specifieke sectorale wetgeving, zoals de Wet op de inlichtingen- en veiligheidsdiensten, de Politiewet en de Wet veiligheidsregio’s.
• Gekwalificeerde vertrouwensdienstverleners, zoals Qualified Trust Service Providers, digitale vertrouwensdiensten die bijvoorbeeld gekwalificeerde digitale certificaten uitgeven;
• Aanbieders van registers voor topleveldomeinnamen;
• DNS-dienstverleners;
• Middelgrote en grote aanbieders van openbare elektronische communicatienetwerken of -diensten.

De volgende entiteiten kwalificeren altijd als belangrijke entiteit:

• Micro- en kleine aanbieders van openbare elektronische communicatienetwerken of -diensten; en
• Micro- en kleine telecomaanbieders. De minister kan deze entiteiten echter ook aanwijzen als essentiële entiteiten.

Ook voor hoger onderwijsinstellingen bestaat een bijzondere regeling: deze kunnen door de minister van Onderwijs, Cultuur en Wetenschap worden aangewezen als essentiële of belangrijke entiteit, ongeacht hun omvang.

Tot slot bevat de Cbw een koppeling met de met de Wet weerbaarheid kritieke entiteiten (“Wwke”). De Wwke regelt de fysieke veiligheid en veerkracht van vitale organisaties, zoals energie- en drinkwaterbedrijven, tegen dreigingen zoals natuurrampen, sabotage of terroristische aanslagen. Organisaties die op grond van de Wwke als kritieke entiteit zijn aangewezen, kwalificeren automatisch als essentiële entiteit op grond van de Cbw. Aanwijzing gebeurt door de minister die voor de betreffende sector verantwoordelijk is.

Essentiële of belangrijke entiteit? Onderscheid in toezicht

Het is belangrijk om vast te stellen of een entiteit onder de Cbw valt en of een entitieit als essentieel of belangrijk kwalificeert. Dit bepaalt niet alleen of de Cbw van toepassing is, maar heeft ook directe gevolgen voor het toezichtregime.

Voor essentiële entiteiten geldt een strenger toezichtregime: toezichthouders zullen bij deze entiteiten structureel proactief controleren, bijvoorbeeld door audits uit te voeren. Voor belangrijke entiteiten is het toezicht lichter: hier handelt de toezichthouder met name reactief, wanneer er signalen of aanwijzingen zijn dat de regels worden overtreden.

Conclusie

De Cbw heeft een groot toepassingsbereik: van ziekenhuizen en laboratoria tot digitale dienstverleners en financiële instellingen. Voor organisaties is het van belang om tijdig vast te stellen of zij onder de reikwijdte van de Cbw komen te vallen en of zij kwalificeren als essentiële of belangrijke entiteit.

Vraagt u zich af of uw organisatie onder het toepassingsgebied van de Cbw valt? Neem dan gerust contact op met Bente van Kan, Machteld Robichon of Ole Oerlemans. Houd onze website in de gaten! Binnenkort komen we met een update over de meldplicht en de bestuurdersverantwoordelijkheid.

Meer weten over de Cbw? Lees onze andere blogs:

• De Cyberbeveiligingswet: nieuw juridisch fundament voor digitale weerbaarheid