De wet op cyberveiligheid en -veerkracht: wat u moet weten

Door Phil Muncaster • 22 May 2025

De weg naar cyberweerbaarheid voor kritieke infrastructuur (CNI) in het Verenigd Koninkrijk is lang en bochtig geweest. De NIS-regelgeving van de overheid uit 2018 is hopeloos verouderd en beperkt in reikwijdte – gebaseerd op een EU-richtlijn van twee jaar eerder. Maar na wat positieve geluiden liepen de inspanningen van de vorige regering op niets uit. Het is dan ook hartverwarmend dat de Labour-regering het onderwerp eindelijk de aandacht geeft die het verdient.

Na maandenlang wachten op meer details na de TroonredeWe moeten nu een beleidsverklaring van de overheid analyseren. Wat wil de Cyber Security and Resilience Bill bereiken? En hoe lastig zal het voor bedrijven zijn om hieraan te voldoen?

Waarom we het nodig hebben

Het Verenigd Koninkrijk is een heel andere plek dan waar de NIS-regelgeving van 2018 van kracht werd. CNI, de maatschappij en de Britse PLC zijn meer dan ooit afhankelijk van IT en digitale systemen. In de meeste organisaties heeft dit geleid tot investeringen die het cyberaanvalsoppervlak hebben vergroot, wat cyberactoren een voordeel heeft opgeleverd. De geopolitieke context heeft de kans op aanvallen van derde partijen die gelieerd zijn aan staten, maar waarvan men de aanwezigheid aannemelijk kan ontkennen, vergroot. En het heeft natiestaten aangemoedigd om hun eigen aanvallen uit te voeren.

Alsof iemand nog herinnerd moet worden aan de potentiële impact van ernstige inbreuken op CNI-sectoren, denk dan eens aan de chaos die de Synnovis ransomware-aanval die vorig jaar werden veroorzaakt – wat leidde tot duizenden geannuleerde afspraken en een ernstig bloedtekort in Zuidoost-Engeland. Het herinnert er ook aan dat toeleveringsketens een steeds kwetsbaarder doelwit zijn voor dergelijke aanvallen. Te vaak worden deze kleinere organisaties hard getroffen door tekorten aan vaardigheden en middelen. En terwijl zij het moeilijk hebben, worden dreigingsactoren geconfronteerd met... AI gebruiken om meer te doen met minder, waardoor aanvallen worden versneld en resultaten worden verbeterd.

Het feit dat de helft van de Britse bedrijven hebben hun plannen voor digitale transformatie op de plank gelegd De angst voor aanvallen van natiestaten maakt het verbeteren van de cyberweerbaarheid ook tot een zakelijke noodzaak. Dus, wat staat er op hun to-dolijstje als het wetsvoorstel eindelijk van kracht wordt?

Wat staat er in het wetsvoorstel?

Hoewel er mogelijk nog wijzigingen worden doorgevoerd tijdens de parlementaire behandeling, heeft de wetgeving in zijn huidige vorm als doel:

Meer entiteiten binnen het bereik creëren

De overheid zal:

De nieuwe bepalingen gelden ook voor managed service providers (MSP's). Naar schatting gaat het om circa 900-1100 van deze bedrijven.
Inclusief datacenterexploitanten: ongeveer 182 colocatielocaties en 64 exploitanten, plus een klein aantal bedrijfsdatacentra (met een capaciteit van meer dan 10 MW)
Geef overheden en toezichthouders de mogelijkheid om strengere eisen te stellen aan bepaalde kritieke/impactvolle aanbieders van essentiële diensten (OES), zelfs als het microbedrijven zijn (tenzij ze onderworpen zijn aan bestaande wetgeving inzake cyberweerbaarheid).

Geef toezichthouders meer macht en verbeter het toezicht

De overheid zal:

Verduidelijk de “technische en methodologische beveiligingsvereisten” die aan organisaties binnen het toepassingsgebied worden gesteld – door deze nauwer aan te laten sluiten bij NIS 2 en het NCSC Cyber Assessment Framework (CAF)
Breid de rapportage over incidentrespons uit naar alle incidenten die "de vertrouwelijkheid, beschikbaarheid en integriteit van een systeem aanzienlijk beïnvloeden" – inclusief datalekken, spyware-aanvallen en ransomware. Bedrijven moeten dit melden aan hun toezichthouder en het NCSC. De meldingsplicht is "niet strenger dan die van NIS 2": in eerste instantie 24 uur, gevolgd door een incidentmelding binnen 72 uur.
Geef de minister van Technologie de bevoegdheid om een gereguleerde entiteit te verplichten specifieke maatregelen te nemen wanneer dit nodig wordt geacht voor de nationale veiligheid.
Verbeter de informatieverzamelingsmogelijkheden van ICO's, zodat ze de meest cruciale digitale dienstverleners kunnen identificeren en hun cybersecuritypositie proactief kunnen beoordelen.
Geef toezichthouders de mogelijkheid om een vergoedingenstelsel in te stellen, kosten te verhalen of beide te combineren om handhavingskosten en andere toezichtskosten te dekken.

Gedelegeerde bevoegdheden creëren

De regering heeft zich er ook toe verbonden ervoor te zorgen dat de wet aanpasbaar is: de minister van Technologie heeft nieuwe bevoegdheden gekregen om de wetgeving te actualiseren en te zorgen dat deze ‘actueel en effectief’ is.

Vragen die nog beantwoord moeten worden

CSBR, een specialist op het gebied van de veerkracht van non-profitorganisaties, verwelkomt het wetsvoorstel, maar vraagt om duidelijkheid over een reeks vragen, variërend van NIS 2-afstemming tot ICO-bevoegdheden.

"De uitdaging is ervoor te zorgen dat het streven naar betere regelgeving voor cybersecurity-weerbaarheid niet het onbedoelde effect heeft dat innovatie wordt onderdrukt en er lastige of bureaucratische obstakels worden gecreëerd, met name voor kleine en middelgrote ondernemingen", aldus het rapport. "Ook moet de overheid erkennen dat zij zelf vaak het meest kwetsbare onderdeel van het systeem is, zoals het recente NAO-rapport duidelijk maakte."

Oscar Tang, senior associate bij Clifford Chance's Tech Group, beaamt dat er op dit moment nog veel vragen onbeantwoord zijn, waaronder de basis voor de "technische en methodologische beveiligingsvereisten" die de nieuwe wet moet verduidelijken voor organisaties die binnen het toepassingsgebied vallen.

"We zouden een meerlagige aanpak kunnen zien die de CAF als belangrijkste Britse benchmark beschouwt, naast ISO en andere richtlijnen, om consistentie in de praktijk te garanderen", vertelt hij aan ISMS.online. "In het beleidsvoornemen van de overheid wordt het belang van een proportionele en flexibele aanpak van beveiliging benadrukt, waardoor het onwaarschijnlijk is dat organisaties het wiel opnieuw hoeven uit te vinden. Het benutten van bestaande kaders zoals ISO 27001 zou moeten helpen bij het aantonen van robuust risicomanagement en beveiligingsmaatregelen."

Will Richmond-Coggan, partner bij Freeths LLP en gespecialiseerd in geschillen over gegevens en cyberbeveiliging, noemt ook de ISO-normen als mogelijke basis voor wat er in de nieuwe Britse wet wordt verwacht.

"Hoewel de overheid er laat bij is om wetgeving op te stellen die de ontwikkelingen in Europa op het gebied van cyberveiligheid weerspiegelt die zijn verankerd in de NIS 2-richtlijn, biedt dit wel degelijk voordelen", vertelt hij aan ISMS.online.

Een aantal bestaande informatiebeveiligingsnormen weerspiegelt de gewijzigde focus onder NIS 2 al: bijvoorbeeld ISO 27001:2022 en ISO 27302, die specifieke aanbevelingen bevatten voor het versterken van de cyberweerbaarheid van een organisatie. Deze normen zullen waarschijnlijk ook de naleving van de Cyber Security and Resilience Bill ondersteunen wanneer deze van kracht wordt. Voor organisaties die al in Europa actief zijn en zich aan NIS 2 houden, zullen de parallellen tussen de wetgevingen waarschijnlijk nuttig zijn.

Om echter het punt van echte cyberweerbaarheid te bereiken, moeten organisaties wat ze leren door ISO 27001 en andere normen toe te passen, "in de operationele kern van bedrijven" verankeren. Daarvoor is een "cultuur van naleving" nodig, voegt Richmond-Coggan toe.

“In werkelijkheid zal de wetgeving, tegen de tijd dat deze van kracht wordt, al achterhaald zijn wat betreft een aantal risico’s die zij moet aanpakken”, concludeert hij.

Bedrijven moeten dit als een wake-upcall gebruiken om hun end-to-end beveiligingshouding, veerkracht en bedrijfscontinuïteitsplanning te onderzoeken. Alleen dan zijn ze echt voorbereid op de risico's waar de overheid met deze wetgeving en haar bredere cyberbeveiligingsinitiatieven op reageert.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster