Nieuwe Cyberwet: proactief toezicht op cloud providers vanaf eind 2026

Vanaf de tweede helft van 2026 zullen cloudserviceproviders onder proactief toezicht vallen van de Rijksinspectie Digitale Infrastructuur (RDI). Dit is het gevolg van de inwerkingtreding van de Cyberbeveiligingswet (Cbw).

Van reactief naar proactief toezicht

Het nieuwe toezichtsmodel betekent een verschuiving van een reactieve naar een proactieve aanpak. Waar de RDI voorheen vooral achteraf controleerde op naleving van regels na een incident of signaal, zal de inspectie nu vooraf in gesprek gaan met providers over hun risico’s en genomen maatregelen.

De RDI benadrukt dat cloudserviceproviders een cruciale verantwoordelijkheid hebben onder de nieuwe wet. Deze omvat het in kaart brengen van risico’s, het treffen van passende maatregelen, en het continu beheersen van deze risico’s. Hierbij wordt ook de rol van het bestuur van de cloudprovider benadrukt, dat eventuele restrisico's moet accepteren.

Verantwoordelijkheid in de digitale ketting

Naast het interne risicomanagement, speelt de ketenverantwoordelijkheid een belangrijke rol. Cloudproviders moeten zowel de risico’s van hun eigen leveranciers in kaart brengen, als hun gebruikers ondersteunen bij het behouden van grip op hun data en applicaties. Dit laatste is van belang omdat veel gebruikers van clouddiensten zelf ook onder de Cbw kunnen vallen, wat samenwerking noodzakelijk maakt.

De RDI heeft een document met veelgestelde vragen gepubliceerd om duidelijkheid te verschaffen over de samenhang tussen de Europese regels voor zowel cloudleveranciers als hun klanten.

De toezichthouder roept cloudserviceproviders expliciet op om:

• Risico’s nauwkeurig in kaart te brengen en maatregelen te nemen.
• Verantwoordelijkheid te nemen op bestuursniveau.
• Gebruikers te helpen hun data en applicaties beschikbaar en overdraagbaar te houden.

Met het proactieve toezicht wil de RDI de cyberveiligheid van de essentiële digitale infrastructuur in Nederland versterken.