
24 oktober 2025 | Blog

Vandaag heeft de Eerste Kamer ingestemd met de Cyberbeveiligingswet. Daarmee is de Europese NIS2-richtlijn omgezet in Nederlandse wetgeving. Tegelijk is ook de Wet weerbaarheid kritieke entiteiten aangenomen, die zich richt op de fysieke en organisatorische weerbaarheid van essentiële diensten. De wet treedt op 15 augustus 2026 in werking en geldt voor ruim 8.000 organisaties die essentiële of belangrijke diensten leveren.
Voor veel organisaties voelt dit als een formeel moment. De voorbereidingen liepen al, de verplichtingen waren bekend. Toch verandert er met deze stemming iets fundamenteels. De discussie verschuift van wat er mogelijk gaat komen naar wat er straks aantoonbaar geregeld moet zijn.
In gesprekken met securityteams en bestuurders zie je vaak hetzelfde patroon. De focus ligt op maatregelen: werkt multifactorauthenticatie goed, worden systemen gemonitord en zijn back-ups op orde? Dat zijn logische vragen die ook gewoon relevant blijven. Ze geven inzicht in hoe de beveiliging technisch is ingericht, maar zeggen nog weinig over hoe die keuzes tot stand zijn gekomen.
Alleen ligt de nadruk van de Cyberbeveiligingswet ergens anders. Organisaties moeten laten zien hoe maatregelen tot stand komen, hoe ze worden beoordeeld en wie daarvoor verantwoordelijk is.
Dat vraagt om samenhang tussen techniek, beleid en besluitvorming. Eén geheel waarin keuzes expliciet worden gemaakt en vastgelegd, in plaats van losse onderdelen. Dit betekent dat beslissingen over risicoacceptatie, prioritering en investeringen navolgbaar moeten zijn, ook voor toezichthouders en bestuurders.
De wet brengt een aantal duidelijke verplichtingen met zich mee. Op papier zijn deze verplichtingen grotendeels bekend. Wat verandert, is hoe ze in de praktijk worden toegepast.
Organisaties moeten zich registreren, risico’s rond hun netwerk- en informatiesystemen beheersen en significante incidenten binnen vastgestelde termijnen melden.
Daarnaast verschuift de rol van het bestuur. Cyberrisicobeheersing ligt nadrukkelijker op directieniveau en wordt onderdeel van de bredere aansturing van de organisatie. Bestuurders moeten betrokken zijn bij de keuzes die worden gemaakt en deze kunnen volgen en beoordelen.
Dat zie je ook terug in de praktijk. Security verschuift binnen de organisatie en raakt direct aan strategische besluitvorming. Het is daarmee niet langer een technisch onderwerp, maar onderdeel van hoe organisaties worden aangestuurd. Dat betekent bijvoorbeeld dat incidenten sneller moeten worden opgeschaald en dat duidelijk moet zijn wie wanneer beslist over impact, communicatie en herstel.
Veel verplichtingen zijn herkenbaar. Organisaties hebben vaak al beleid, processen en technische maatregelen ingericht.
De verandering zit vooral in hoe dat samenkomt. Het gaat om een samenhangend geheel waarin IT, security, governance en besluitvorming op elkaar aansluiten. Dat betekent dat keuzes niet alleen gemaakt worden, maar ook terug te vinden zijn en consistent worden toegepast.
De wet vraagt om:
Het gaat erom dat wat wordt gedaan ook reproduceerbaar, herleidbaar en uitlegbaar is. Keuzes moeten terug te volgen zijn en duidelijk maken hoe ze tot stand zijn gekomen.
Voor veel organisaties zit daar nog werk. De techniek is vaak aanwezig, maar samenhang en vastlegging zijn niet overal op hetzelfde niveau ingericht.
Ook afhankelijkheden van leveranciers spelen hierin een grotere rol, omdat risico’s vaak buiten de eigen organisatie ontstaan.
Het risico van nieuwe wetgeving is dat organisaties het benaderen als een afvinklijst. Wat moeten we doen om te voldoen, en hoe zorgen we dat het klopt?
Dat gebeurt vaak ook zo. Maatregelen worden ingericht, beleid wordt geschreven en processen worden vastgelegd. Op papier lijkt alles te kloppen, terwijl dat nog weinig zegt over hoe het in de praktijk werkt.
Toch draait de Cyberbeveiligingswet daar niet om. De wet legt de nadruk op hoe een organisatie functioneert wanneer het er echt op aankomt. Kunnen verstoringen worden opgevangen, zijn afhankelijkheden in de keten in beeld en is duidelijk hoe er gehandeld wordt als er iets misgaat?
Dat vraagt om samenhang en om keuzes die te volgen zijn. Compliance is daar geen doel op zich, maar het resultaat van hoe dat is ingericht. Juist in crisissituaties wordt zichtbaar of een organisatie dit goed heeft ingericht. Dan zijn snelheid, duidelijke verantwoordelijkheden en inzicht in impact bepalend voor de continuïteit.
Met de inwerkingtreding in augustus komt het aan op concrete keuzes. Voor veel organisaties begint dat met een aantal basale vragen:
Deze vragen helpen vooral om zichtbaar te maken of governance en uitvoering al daadwerkelijk op elkaar aansluiten.
De stemming van vandaag voelt minder als een eindpunt en meer als een kantelpunt. Voor organisaties die al bezig waren met NIS2 verandert er minder dan het lijkt. Waar cybersecurity nog vooral technisch wordt ingevuld, wordt het verschil snel zichtbaar.
De Cyberbeveiligingswet vraagt om meer dan maatregelen. Het vraagt om grip. Op risico’s, op keuzes en op verantwoordelijkheid.
Organisaties die dat op orde hebben, merken dat de stap naar aantoonbaarheid kleiner is dan gedacht. Voor de rest begint het werk nu pas echt.
Wil je weten waar jouw organisatie staat ten opzichte van de Cyberbeveiligingswet? We helpen je om inzicht te krijgen in risico’s, verantwoordelijkheden en wat er nog ontbreekt. Dat doen we door samen te kijken naar governance, besluitvorming en de praktische invulling daarvan binnen jouw organisatie.
Praat met een expert