De wet is een voortvloeisel van de Europese NIS2-richtlijn en verplicht organisaties die ‘essentieel of belangrijk’ zijn om hun digitale weerbaarheid op orde te brengen en hierover verantwoording af te leggen. Onder de richtlijn vallen onder meer bedrijven die actief zijn in energie, transport, financiële markten, zorg, levensmiddelen, de maakindustrie en ICT. Voorwaarde is dat ze meer dan 50 medewerkers hebben of een balanstotaal van meer dan € 10 miljoen. Accountants en hun klanten kunnen dus ook onder de nieuwe wetgeving vallen.
Iedereen moet uit eigen beweging controleren of ze onder de wet vallen en zorgen voor een goede voorbereiding. “Begin hier op tijd mee”, waarschuwt NCSC-directeur Matthijs van Amelsfort. “Het vraagt bewustwording in de gehele organisatie.”
Meer aanvallen, weinig actie
Hij wijst erop dat het aantal ransomware-aanvallen gericht op datadiefstal het afgelopen jaar is verdubbeld, maar actie ondernemen op cybercrime blijft achter. “Zo toont het deelrapport Bedrijfsleven Alert Online 2025 dat in bijna de helft (47%) van de gevallen waarin een medewerker te maken kreeg met cybercrime, geen aangifte of melding gedaan is.” De Cyberbeveiligingswet verplicht organisaties om hun processen zo in te richten dat ze hun cyberweerbaarheid verhogen.
Concreet moet iedereen die onder de wet valt, onder meer een risicoanalyse uitvoeren, kritieke processen vaststellen en beveiligingsmaatregelen nemen. “Besef ook dat de Cyberbeveiligingswet verder gaat dan compliancy. Het vraagt om bewustwording en een nieuw handelingsperspectief in de hele organisatie. Er moet draagvlak voor gecreëerd worden door actie te ondernemen en dat vergt tijd en energie.” De wet ligt nog bij de Tweede Kamer, maar gaat naar verwachting wel komend jaar in.
Registratie
Van Amelsfort heeft wat tips om digitale weerbaarheid te versterken. “Breng zo snel mogelijk in kaart of jouw organisatie onder de nieuwe wetgeving valt. Hiervoor kan onder andere gebruik worden gemaakt van de zelfevaluatietool van de RDI.” De organisatie kan zich nu nog vrijwillig registreren via mijn.ncsc.nl. Daarna krijgen Cbw-organisaties toegang tot de dienstverlening van het betreffende sectorale cyber security incident response team, zoals informatie over dreigingen, kwetsbaarheden en incidenten.
“Ga aan de slag met de zorgplicht: tref beveiligingsmaatregelen en identificeer verbeterpunten. Het onlangs gelanceerde Cbw Control Framework, door de Auditdienst Rijk en Norea, geeft bestuurders en chief information security officers inzicht in de huidige situatie rondom digitale weerbaarheid en de stappen die nodig zijn richting compliance.”
Verder zou iedereen een Incident Response Plan moeten maken met maatregelen voor de behandeling van incidenten, al dan niet met behulp van een IT-securitybedrijf. Er is ook een DTC Community waar professionals met elkaar in gesprek kunnen over de Cyberbeveiligingswet.
Consultatie
Het NCSC houdt ook samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en andere samenwerkingspartners webinars. Het volgende webinar is op dinsdag 18 november. Deze week is bovendien de internetconsultatie gestart van de ministeriële regelingen die onder de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten vallen. “In die regelingen zijn de verplichtingen uitgewerkt waaraan bedrijven moeten voldoen en wanneer meldingen precies moeten worden gedaan.” Reacties daarop kunnen tot 21 december worden ingediend via www.internetconsultatie.nl.
Geef een reactie