Nieuw whitepaper om Cybersecurity in de bestuurderskamer te krijgen

Praktische handvatten voor CISO's, CIO's en IT-managers die cybersecurity op de agenda van het bestuur willen krijgen

De Cyber Security Raad publiceerde eerder dit jaar een handreiking waarmee bestuurders en bedrijfseigenaren grip krijgen op cybersecurity. Maar wat als het bestuur nog niet zover is? Hoe krijg je als cyber-verantwoordelijke het onderwerp überhaupt op de agenda? 

NLdigital en het Cyber Chain Resilience Consortium (CCRC) publiceren vandaag het whitepaper Cybersecurity naar de bestuurderskamer, de praktische spiegel van de CSR-handreiking. Waar de CSR bestuurders aanspreekt op hun verantwoordelijkheid, richt dit whitepaper zich op de CISO’s, CIO’s en IT-managers die het gesprek met hun bestuur moeten voeren. 

Van interviews naar concrete strategieën 

Het whitepaper is tot stand gekomen op basis van een reeks interviews door Kelvin Rorive (CCRC) en Jelmer Schreuder (NLdigital) met CISO’s uit de sector, aangevuld met input van bezoekers op de Cybersec-beurs 2025 en een afstudeeronderzoek van de TU Delft naar security-besluitvorming in het mkb. Uit die gesprekken kwam een terugkerend patroon naar voren: de kloof tussen IT en bestuur is geen kenniskloof, maar een taalkloof. IT spreekt in tools, het bestuur denkt in risico’s, kosten en controle. 

De kern van het whitepaper is dan ook: Stop met technisch communiceren en begin met vertalen. Niet “we moeten patchen”, maar “als we geraakt worden, liggen we drie weken stil en dat kost ons klant X.” 

Breng cybersecurity naar jouw bestuur, het whitepaper is hier te downloaden:

InnoVein: Innovatie versnellen met strategische subsidies 

In een sector waar innovatie de kern vormt van concurrentiekracht, is toegang tot de juiste financiering essentieel. Daarom heeft NLdigital een…
Contracten & voorwaarden

Vier stappen als basis 

Het whitepaper biedt vier concrete stappen om cybersecurity structureel te verankeren:

Daarnaast bevat het vier communicatiestrategieën — van het inzetten van peer stories tot het organiseren van een crisisoefening met het bestuur. 

Eén tip uit de praktijk vat het goed samen:
“Zet het bestuur aan tafel en speel een cyberincident na. Als ze merken wat er mis zou gaan dan ontstaat de urgentie vanzelf. 

Download en aan de slag 

Het whitepaper Cybersecurity naar de bestuurderskamer is openbaar beschikbaar voor alle NLdigital-leden en geïnteresseerden onder Tools en Templates op NLdigital.nl.

De CSR-handreiking voor bestuurders is beschikbaar via cybersecurityraad.nl

Bekijk het whitepaper hier

Aan de slag met de Cyberbeveiligingswet?

Nieuw!

Bereid je goed voor op de Cyberbeveiligingswet (NIS2), met ons vernieuwde stappenplan

Cyberbeveiligingswet (NIS2) Stappenplan

Met dit stappenplan helpen we je om aan de slag te gaan met de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn. De verwachting is dat deze het tweede kwartaal in 2026 in werking treedt. 
Cybersecurity

Voor wie geldt de Cyberbeveiligingswet?

Het NLdigital stappenplan is bedoeld voor organisaties die direct of indirect onder de Cbw vallen. Daarom is het goed om eerst te bepalen of dit op jou van toepassing is.

Je kan gebruik maken van de NIS2 Zelfevaluatie van de RDI om vast te stellen of je direct onder deze wet gaat vallen. Om vast te stellen of je er indirect mee te maken krijgt, moet je weten of je klanten direct onder de wet vallen: vraag hen dus deze zelfevaluatie uit te voeren om dat duidelijk te krijgen.

In het kort:

  • Indirect onder de wet:
    Je valt indirect onder de wet wanneer je leverancier bent van een organisatie die direct onder de Cyberbeveiligingswet valt. In dat geval kan jouw klant eisen stellen in het kader van zijn eigen wettelijke verplichtingen.

Verschil tussen direct en indirect

Het onderscheid tussen direct en indirect is relevant voor de vraag of je:

  • Zelf aan de eisen van de Cyberbeveiligingswet moet voldoen
  • Jouw klanten moet ondersteunen bij hun naleving

Het onderscheid tussen ‘belangrijk’ en ‘essentieel’ is met name van belang voor de mate van toezicht en de maximale hoogte van eventuele boetes.

Een organisatie kan zowel direct als indirect onder de wet vallen. Dat is het geval wanneer zij zelf onder de wettelijke verplichtingen valt én klanten heeft die eveneens onder de wet vallen. In dat geval kan sprake zijn van verschillende sectorale uitwerkingen. Deze sectorale eisen lijken grotendeels met elkaar in lijn te zijn.

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de NIS2-richtlijn. De wet vertaalt de Europese verplichtingen naar nationale regelgeving en bepaalt hoe deze in Nederland worden toegepast.

De Cyberbeveiligingswet tekst wordt vastgesteld via het nationale wetgevingsproces.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Network and Information Security Directive 2) is Europese wetgeving die eisen stelt aan cybersecurity en risicobeheersing binnen de Europese Unie. De richtlijn is de opvolger van de eerdere NIS-richtlijn en heeft als doel de digitale weerbaarheid en continuïteit van essentiële en belangrijke sectoren te versterken.

Veelgestelde vragen over de NIS2 gaan in de praktijk over de Nederlandse uitwerking via de Cyberbeveiligingswet. Denk aan vragen als: Voor wie geldt de NIS2-richtlijn? Wat betekent NIS2 voor Nederland? Wanneer is de NIS2 verplicht?

Wat is de status van de Cyberbeveiligingswet?

Wanneer de Cyberbeveiligingswet in werking treedt is nog niet definitief vastgesteld. De verwachting is dat de Cyberbeveiligingswet halverwege het tweede kwartaal 2026 zijn intrede zal doen. Met deze intrede van de Cyberbeveiligingswet zal ook de NIS2-richtlijn midden Q2 van kracht gaan.

Vanuit NLdigital houden we scherp in de gaten welke cybersecurity wetten er (mogelijk) aankomen en wanneer deze in werking treden. In onderstaande tijdlijn houden we dit overzichtelijk bij:

Tijdlijn Cybersecurity Wet- en Regelgeving 

Is NIS2 een certificering?

NIS2 schrijft geen specifieke certificering voor. De wet stelt eisen aan risicobeheersing, beveiligingsmaatregelen en incidentmelding.

Organisaties moeten kunnen aantonen dat zij passende maatregelen hebben getroffen. Sommige organisaties gebruiken bestaande normen, zoals ISO27001, om hier invulling aan te geven.

Deel via:

Jelmer Schreuder

Public policy manager
Neem contact op met
Jelmer Schreuder

Het laatste nieuws

Europa: geen kopieertaks op Spotify-downloads  

Nederland opnieuw teruggefloten door Hof van Justitie  Het Europese Hof van Justitie oordeelde vandaag dat er geen thuiskopieheffing verschuldigd is voor...
Politiek & wetgeving

Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen 

De Tweede Kamer heeft op woensdag 15 april de Cyberbeveiligingswet (Cbw) aangenomen. De wet raakt 8.000 tot 10.000 organisaties in...
Cybersecurity

CRA-meldplicht: wat moet je weten vóór 11 september 2026?

De Cyber Resilience Act (CRA) treedt pas volledig in werking op 11 december 2027, maar één onderdeel gaat al eerder gelden: de meldplicht voor actief geëxploite
Cybersecurity

Kamer komt met verbeteringen voor Cyberbeveiligingswet, stemmingen komende 2 weken 

Op 23 maart debatteerde de Tweede Kamer over de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Vanuit NLdigital...
Cybersecurity

Cyberbeveiligingswet: steun voor de wet, zorgen over de uitvoering

Op 23 maart vergadert de Tweede Kamer in een wetgevingsoverleg over de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn. NLdigital heeft haar inbreng aangeboden aan de Tweede Kamer. Onze boodschap is tweeledig: steun voor de wet, zorgen over de uitvoering.
Cybersecurity