Whitepaper: Hoe CI(S)O’s en IT-managers cybersecurity op de agenda krijgen
Aan de slag met Cybersecurity binnen jouw bedrijf? Dat is niet alleen een taak van de IT-afdeling, maar hoe breng je de urgentie en boodschap over aan de bestuurtafel? In een samenwerking tussen NLdigital en Cyber Chain Resilience Consortium (CCRC) is onderstaand Whitepaper opgesteld.
Dit whitepaper is opgesteld door Kelvin Rorive (CCRC) & Jelmer Schreuder (NLdigital), op basis van:
- De handreiking “Cybersecurity is niet slechts een technische uitdaging, maar een structureel en strategisch vraagstuk dat de gehele organisatie raakt.” uitgegeven door de Cyber Security Raad;
- Interviews met CISO’s, experts en bestuurders;
- Input gegeven door bezoekers op de Cybersec beurs 2025;
- De scriptie Inside the SME Security Decision – An exploration of leadership engagement in building cyber-resilient small and medium-sized enterprises door Yoran Koenders voor de TU Delft, uitgevoerd in opdracht van CCRC.
Aan de slag met de Cyberbeveiligingswet?
Nieuw!
Bereid je goed voor op de Cyberbeveiligingswet (NIS2), met ons vernieuwde stappenplan
Cyberbeveiligingswet (NIS2) Stappenplan
Voor wie geldt de Cyberbeveiligingswet?
Het NLdigital stappenplan is bedoeld voor organisaties die direct of indirect onder de Cbw vallen. Daarom is het goed om eerst te bepalen of dit op jou van toepassing is.
Je kan gebruik maken van de NIS2 Zelfevaluatie van de RDI om vast te stellen of je direct onder deze wet gaat vallen. Om vast te stellen of je er indirect mee te maken krijgt, moet je weten of je klanten direct onder de wet vallen: vraag hen dus deze zelfevaluatie uit te voeren om dat duidelijk te krijgen.
In het kort:
- Direct onder de wet:
Je valt direct onder de Cyberbeveiligingswet wanneer je volgens de wet wordt aangemerkt als een ‘essentiële’ entiteit of een ‘belangrijke’ entiteit.
- Indirect onder de wet:
Je valt indirect onder de wet wanneer je leverancier bent van een organisatie die direct onder de Cyberbeveiligingswet valt. In dat geval kan jouw klant eisen stellen in het kader van zijn eigen wettelijke verplichtingen.
Verschil tussen direct en indirect
Het onderscheid tussen direct en indirect is relevant voor de vraag of je:
- Zelf aan de eisen van de Cyberbeveiligingswet moet voldoen
- Jouw klanten moet ondersteunen bij hun naleving
Het onderscheid tussen ‘belangrijk’ en ‘essentieel’ is met name van belang voor de mate van toezicht en de maximale hoogte van eventuele boetes.
Een organisatie kan zowel direct als indirect onder de wet vallen. Dat is het geval wanneer zij zelf onder de wettelijke verplichtingen valt én klanten heeft die eveneens onder de wet vallen. In dat geval kan sprake zijn van verschillende sectorale uitwerkingen. Deze sectorale eisen lijken grotendeels met elkaar in lijn te zijn.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de NIS2-richtlijn. De wet vertaalt de Europese verplichtingen naar nationale regelgeving en bepaalt hoe deze in Nederland worden toegepast.
De Cyberbeveiligingswet tekst wordt vastgesteld via het nationale wetgevingsproces.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn (Network and Information Security Directive 2) is Europese wetgeving die eisen stelt aan cybersecurity en risicobeheersing binnen de Europese Unie. De richtlijn is de opvolger van de eerdere NIS-richtlijn en heeft als doel de digitale weerbaarheid en continuïteit van essentiële en belangrijke sectoren te versterken.
Veelgestelde vragen over de NIS2 gaan in de praktijk over de Nederlandse uitwerking via de Cyberbeveiligingswet. Denk aan vragen als: Voor wie geldt de NIS2-richtlijn? Wat betekent NIS2 voor Nederland? Wanneer is de NIS2 verplicht?
Wat is de status van de Cyberbeveiligingswet?
Wanneer de Cyberbeveiligingswet in werking treedt is nog niet definitief vastgesteld. De verwachting is dat de Cyberbeveiligingswet halverwege het tweede kwartaal 2026 zijn intrede zal doen. Met deze intrede van de Cyberbeveiligingswet zal ook de NIS2-richtlijn midden Q2 van kracht gaan.
Vanuit NLdigital houden we scherp in de gaten welke cybersecurity wetten er (mogelijk) aankomen en wanneer deze in werking treden. In onderstaande tijdlijn houden we dit overzichtelijk bij:
Is NIS2 een certificering?
NIS2 schrijft geen specifieke certificering voor. De wet stelt eisen aan risicobeheersing, beveiligingsmaatregelen en incidentmelding.
Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben getroffen. Sommige organisaties gebruiken bestaande normen, zoals ISO27001, om hier invulling aan te geven.
Gerelateerde artikelen
Terugkijken: 10-02-2026 | Het Cbw (NIS2) Control Framework
Terugkijken: 05-02-2026 | Aansprakelijkheid, AI & cyberrisico’s voor IT-ondernemers
