In Nederland wordt aan de Europese NIS2-richtlijn invulling gegeven met de Cyberbeveiligingswet (Cbw), die naar verwachting in 2026 in werking treedt. Deze nieuwe wet verplicht organisaties die onder de NIS2-richtlijn essentieel of belangrijk zijn om hun digitale weerbaarheid op orde te brengen en hierover verantwoording af te leggen. Het is van groot belang dat organisaties checken of zij onder de wet vallen en zorgen voor een goede voorbereiding. “Begin hier op tijd mee,” waarschuwt Matthijs van Amelsfort, directeur van het Nationaal Cybersecurity Center (NCSC). “Het vraagt bewustwording in de gehele organisatie.”

Het aantal ransomware-aanvallen gericht op datadiefstal is het afgelopen jaar verdubbeld. Cyberaanvallen bij Clinical Diagnostics en diverse gemeenten laten zien dat het iedereen kan overkomen, met alle gevolgen van dien. Denk aan financiële schade, operationele verstoringen, reputatieschade tot aan mogelijke privacy-schendingen. Het versterken van digitale weerbaarheid van organisaties is belangrijker dan ooit. Toch blijft actie ondernemen op cybercrime achter. Zo toont het deelrapport Bedrijfsleven Alert Online 2025 dat in bijna de helft (47%) van de gevallen waarin een medewerker te maken kreeg met cybercrime, geen aangifte of melding gedaan is. De Cyberbeveiligingswet verplicht organisaties, met de bijbehorende zorg-, meld- en registratieplicht en het toezicht daarop, om hun processen zo in te richten dat ze hun cyberweerbaarheid verhogen. Daarmee beschermen ze niet alleen eigen organisatiebelangen, processen en systemen beter, maar ook de digitale veiligheid van Nederland en Europa.

Organisaties, bereid je voor

Het nemen van passende maatregelen vraagt om een goede voorbereiding. Denk aan het uitvoeren van een risicoanalyse, het vaststellen van kritieke processen en het nemen van beveiligingsmaatregelen. “Het doen van een goede risicoanalyse en het treffen van passende maatregelen is tijdrovend,” benadrukt Van Amelsfort. “Wacht dus niet af, maar start op tijd met de voorbereidingen. Besef ook dat de Cyberbeveiligingswet verder gaat dan compliancy. Het vraagt om bewustwording en een nieuw handelingsperspectief in de hele organisatie. Er moet draagvlak voor gecreëerd worden door actie te ondernemen en dat vergt tijd en energie.”

Concrete stappen 

Stappen die organisaties op weg naar digitale weerbaarheid helpen:

• Breng zo snel mogelijk in kaart of jouw organisatie onder de nieuwe wetgeving valt. Hiervoor kan onder andere gebruik worden gemaakt van de zelfevaluatietool van de RDI.
• Registreer de organisatie via mijn.ncsc.nl. Na registratie, die nu nog vrijwillig is, krijgen Cbw-organisaties toegang tot de dienstverlening van het betreffende sectorale CSIRT, zoals informatie over dreigingen, kwetsbaarheden en incidenten.
• Ga aan de slag met de zorgplicht: tref beveiligingsmaatregelen en identificeer verbeterpunten. 
• Het onlangs gelanceerde Cbw Control Framework, door de Auditdienst Rijk en NOREA, geeft bestuurders en CISO’s inzicht in de huidige situatie rondom digitale weerbaarheid en de stappen die nodig zijn richting compliance. 
• Bouw een Incident Response Plan met maatregelen voor de behandeling van incidenten.
• Als je niet de juiste kennis in huis hebt, denk dan aan het inschakelen van hulp van een IT-securitybedrijf.
• Meld je aan bij DTC Community en ga met andere professionals in gesprek over de Cyberbeveiligingswet. In de Cbw-samenwerkruimte voor professionals kun je vragen stellen, relevante informatie vinden en wordt kennisdeling ondersteund. De DTC Community wordt gefaciliteerd door het Digital Trust Center (in 2026 onderdeel van het NCSC).

Deze versturen we 3-4x per jaar.