Wat de wet op cyberbeveiliging en -veerkracht betekent voor kritieke infrastructuur

Wat de Cyber Security and Resilience Bill betekent voor kritieke infrastructuur

Door Phil Muncaster • 3 December 2025

Het heeft lang geduurd. Na te zijn gevolgd zo ver terug als de Troonrede van de Koning in 2024, de Wetsvoorstel cyberveiligheid en veerkracht (CSRB) is eindelijk in het parlement ingediend. In de afgelopen twintig maanden heeft de kritieke nationale infrastructuur (CNI) van het Verenigd Koninkrijk te lijden gehad onder een behoorlijk aantal grote incidenten – van de Synnovis van ransomware-aanval tot de ongekende cyberespionage-diefstal gericht op het Ministerie van Defensie.

Dat CNI-sectoren een regelgevende impuls nodig hebben om de veiligheid en veerkracht te verbeteren, staat dan ook buiten kijf. De vraag is hoe aanbieders van essentiële diensten (OES) en hun digitale tegenhangers de extra compliance-last die op hen afkomt, kunnen beheersen.

Voor wie geldt het?

De definitieve lijst met organisaties die binnen het toepassingsgebied vallen, is nog niet gepubliceerd. Maar deze zal zeker de sectoren omvatten die al onder de NIS-regelgeving van 2018 vallen, die met deze voorgestelde wet wordt bijgewerkt. Het gaat onder meer om gezondheidszorg, transport, energie, water en digitale infrastructuur. Deze vallen allemaal onder OES.

De CSRB is ook van toepassing op:

Relevante digitale dienstverleners (RDSP's): Andere digitale dienstverleners, zoals aanbieders van cloud computing, zoekmachines en online marktplaatsen.
Datacenterbeheerders
Managed Service Providers (MSP's)
Bedrijven die ‘de stroom van elektriciteit naar slimme apparaten’ en oplaadpunten voor elektrische auto’s beheren.

Wat staat er in het wetsvoorstel?

De wetgeving is nog steeds in behandeling in het parlement. We zullen echter waarschijnlijk in ieder geval de volgende belangrijke maatregelen zien aangenomen:

Toezichthouders krijgen de bevoegdheid om kritische leveranciers aan te wijzen die aan minimale veiligheidsnormen moeten voldoen. Dit is bedoeld om eventuele beveiligingslekken in de toeleveringsketen te dichten.
OES zal op een proactievere manier risico's in de toeleveringsketen moeten beheren, hoewel deze nieuwe taken in secundaire wetgeving moeten worden vastgelegd.
OES zal moeten voldoen aan ‘evenredige en actuele beveiligingsvereisten’ die voortvloeien uit het NCSC Cyber Assessment Framework (CAF) en nauw aansluiten bij NIS 2.
Een bredere reikwijdte voor meldbare incidenten – die nu ook gebeurtenissen omvat ‘die een aanzienlijke impact kunnen hebben op de levering van een essentiële of digitale dienst’ en ‘incidenten die de vertrouwelijkheid, beschikbaarheid en integriteit van een systeem aanzienlijk aantasten’.
Meer prescriptieve eisen voor incidentrapportage: de eerste melding aan het NCSC moet uiterlijk 24 uur na een incident plaatsvinden, gevolgd door een volledig rapport binnen 72 uur. Digitale en datacenterproviders moeten klanten ook op de hoogte stellen van eventuele serviceonderbrekingen.
Het Information Commissioner's Office (ICO) krijgt nieuwe bevoegdheden om de meest kritieke digitale dienstverleners te identificeren en proactief hun cyberrisico's te beoordelen.
Toezichthouders kunnen kosten terugvorderen via een nieuw tariefstelsel
Er worden strengere straffen ingevoerd voor ernstige overtredingen – oplopend tot £ 17 miljoen of 4/10% van de omzet
De minister van Technologie krijgt nieuwe bevoegdheden om toezichthouders en OES te instrueren specifieke maatregelen te nemen om aanvallen te voorkomen wanneer er een bedreiging voor de nationale veiligheid is. Dit kan onder meer inhouden dat zij kritieke systemen patchen of isoleren.

Tijd om je voor te bereiden

Hoewel de wetgeving nog door het parlement moet worden goedgekeurd, is het onwaarschijnlijk dat er veel zal veranderen, aangezien "cybersecurity een grotendeels apolitieke beleidskwestie blijft", aldus Verona Johnstone-Hulse, hoofd overheidszaken bij NCC Group UK. Dit betekent dat beveiligings- en complianceteams een voorsprong kunnen nemen door hun compliancetrajecten nu al te plannen.

"Als organisatie is de eerste stap om te bepalen of u daadwerkelijk binnen het toepassingsgebied valt. Voor velen zal dit relatief duidelijk zijn – ofwel omdat u al onder de Britse NIS-wetgeving valt, ofwel omdat uw organisatie duidelijk voldoet aan de definities en drempelwaarden van de sectoren die onder de wet vallen,” vertelt ze aan ISMS.online.

Voor organisaties die als 'kritieke leverancier' kunnen worden aangemerkt – en dus onder de NIS-regels vallen – is het mogelijk minder duidelijk of u aan de 'kritieke' drempel zult voldoen. Door uw klanten en de soorten diensten en producten die u levert nauwkeurig te bekijken, kunt u bepalen of u in de toekomst waarschijnlijk als 'kritiek' wordt aangemerkt.

Rhiannon Webster, hoofd cybersecurity bij het internationale advocatenkantoor Ashurst in het Verenigd Koninkrijk, is het ermee eens dat bedrijven een voorsprong kunnen krijgen op het gebied van compliance.

"Ik denk dat de categorieën van nieuwe personen die onder het toepassingsgebied vallen waarschijnlijk niet zullen veranderen en daarom moeten die bedrijven hun cyberresponsplannen afstoffen", vertelt ze aan ISMS.online. "Ze moeten zich voorbereiden op strengere rapportageverplichtingen, hun cybersecuritykaders toetsen aan de verwachte vereisten en hun toeleveringsketen en contracten grondig bekijken. Verplichtingen moeten mogelijk via inkoopprocessen worden doorvertaald.

Johnstone-Hulse van NCC Group adviseert teams om:

Neem vroegtijdig contact op met de overheid en toezichthouders
Verbeter het bestuur en de verantwoordingsplicht door ervoor te zorgen dat het bestuur zich inzet voor nalevingsprogramma's.
Beoordeel de huidige processen en technologieën voor incidentrespons om te begrijpen wat er mogelijk moet veranderen

Charlotte Walker-Osborn, kennisdirecteur bij advocatenkantoor Clifford Chance, waarschuwt Britse organisaties die momenteel onder NIS2 vallen, zich voor te bereiden op een grotere nalevingslast.

"Omdat de reikwijdte van de Britse Cyber Security and Resilience Bill op verschillende manieren enigszins verschilt van de EU-wetgeving inzake cyberbeveiliging, zullen multinationals met activiteiten in heel Europa opnieuw te maken krijgen met de praktische gevolgen van naleving van twee verschillende regelingen", vertelt ze aan ISMS.online.

“Het is bedoeld om aan te sluiten bij delen van NIS 2, maar erkent ook de uitdagingen waar het Verenigd Koninkrijk zelf mee te maken heeft.”

Hoe normen kunnen helpen

Julian Brown, managing consultant bij NCC Group, legt uit dat sommige belangrijke technische details nog moeten worden verduidelijkt. Dit omvat de "passende en proportionele" beveiligingsmaatregelen die organisaties moeten nemen. Bestaande normen kunnen hierbij helpen.

"Hoewel er meer details worden verwacht – onder meer via een gedragscode en sectorspecifieke richtlijnen van toezichthouders – kunnen bestaande normen en kaders voor cyberbeveiliging de naleving bevorderen door een gestructureerde, controleerbare en internationaal erkende aanpak te bieden om te voldoen aan de kernvereisten van de wet", vertelt hij aan ISMS.online.

Het gebruik van deze normen creëert ook het bewijs dat toezichthouders verwachten: risicobeoordelingen, beleid, controles, statistieken en continue verbeteractiviteiten. ISO 27001 biedt dit via het ISMS, het CAF via het op resultaten gebaseerde assurance-model, NIST CSF via de governance-levenscyclus en 62443 via de OT-specifieke beveiligingsvereisten. Door een van deze kaders te implementeren, kan een organisatie vol vertrouwen aantonen dat ze cyberrisico's op een proportionele, verantwoorde en verdedigbare manier beheert zodra de wetgeving van kracht wordt.

Er is dus nog genoeg in de lucht. Walker-Osborn van Clifford Chance zegt dat het nog onduidelijk is of het wetsvoorstel recent gepubliceerde plannen zal bevatten om betalingen voor ransomware te verbieden en rapportageverplichtingen voor sommige bedrijven op te leggen. De omvang van het boeteregime kan ook ter discussie staan, gezien de slechte economische situatie, voegt ze eraan toe.

Er is echter zeker genoeg te doen. Slimmere organisaties draaien al ISO 27001 of andere nalevingsprogramma's zouden veel gemakkelijker aan de eisen van de wet kunnen voldoen.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster