Cyberbeveiligingswet gaat tijd, aandacht en energie opslokken

De Cyberbeveiligingswet (Cbw) die volgend jaar in werking treedt, verplicht organisaties die onder de NIS2-richtlijn essentieel of belangrijk zijn om hun digitale weerbaarheid op orde te brengen en hierover verantwoording af te leggen. Het is van groot belang dat organisaties checken of zij onder de wet vallen en zich goed voor te bereiden, zo waarschuwt het Nationaal Cybersecurity Center (NCSC).

HetNCSC wijst erop dat het aantal ransomware-aanvallen gericht op datadiefstal het afgelopen jaar is verdubbeld. Toch blijft actie ondernemen op cybercrime achter. Zo toont het deelrapport Bedrijfsleven Alert Online 2025 dat in bijna de helft (47%) van de gevallen waarin een medewerker te maken kreeg met cybercrime, geen aangifte of melding gedaan is.

De Cyberbeveiligingswet verplicht organisaties, met de bijbehorende zorg-, meld- en registratieplicht en het toezicht daarop, om hun processen zo in te richten dat ze hun cyberweerbaarheid verhogen. Daarbij gaat het zoal om het uitvoeren van een risicoanalyse, het vaststellen van kritieke processen en het nemen van beveiligingsmaatregelen.

Stappen die organisaties op weg naar digitale weerbaarheid helpen:

• Breng zo snel mogelijk in kaart of jouw organisatie onder de nieuwe wetgevingvalt. Hiervoor kan onder andere gebruik worden gemaakt van de zelfevaluatietool van de RDI.
• Registreer de organisatie via mijn.ncsc.nl. Na registratie, die nu nog vrijwillig is, krijgen Cbw-organisaties toegang tot de dienstverlening van het betreffende sectorale CSIRT, zoals informatie over dreigingen, kwetsbaarheden en incidenten.
• Ga aan de slag met de zorgplicht: tref beveiligingsmaatregelen en identificeer verbeterpunten.
• Het onlangs gelanceerde Cbw Control Framework, door de Auditdienst Rijk en NOREA, geeft bestuurders en CISO’s inzicht in de huidige situatie rondom digitale weerbaarheid en de stappen die nodig zijn richting compliance.
• Bouw een Incident Response Plan met maatregelen voor de behandeling van incidenten.
• Als je niet de juiste kennis in huis hebt, denk dan aan het inschakelen van hulp van een IT-securitybedrijf.
• Meld je aan bij DTC Community en ga met andere professionals in gesprek over de Cyberbeveiligingswet. In de Cbw-samenwerkruimte voor professionals kun je vragen stellen, relevante informatie vinden en wordt kennisdeling ondersteund. De DTC Community wordt gefaciliteerd door het Digital Trust Center (in 2026 onderdeel van het NCSC).

Diverse overheidsorganisaties verstrekken informatie om organisaties te ondersteunen op weg naar de Cyberbeveiligingswet. Zo biedt het NCSC praktische hulpmiddelen als infosheets en kennisproducten aan op de website ncsc.nl.

Ook worden er webinars georganiseerd ter voorbereiding op de wet samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en andere samenwerkingspartners. Het volgende Cbw-webinar voor organisaties is op dinsdag 18 november.

Daarnaast is in de week van 10 november 2025 de internetconsultatie gestart van de ministeriële regelingen die onder de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten vallen. In die regelingen zijn de verplichtingen uitgewerkt waaraan bedrijven moeten voldoen en wanneer meldingen precies moeten worden gedaan.

Tijdens deze consultatie kunnen organisaties en andere belanghebbenden reageren op de conceptteksten van de regelingen. Reacties kunnen worden ingediend via www.internetconsultatie.nl. De consultatieperiode loopt tot en met zondag 21 december 2025. Met de internetconsultatie wordt een belangrijke stap gezet in de verdere uitwerking van de Cyberbeveiligingswet.

Het is van belang dat het in essentie niet alleen draait om het voldoen aan de Cyberbeveiligingswet. De kern ligt bij het structureel goed beveiligen van de eigen organisatie, zodat het risico op ernstige verstoringen van belangrijke processen wordt beperkt en de organisatie operationeel kan blijven.