Cyberbeveiligingswet verplicht organisaties tot betere digitale bescherming

In dit artikel:

De Nederlandse overheid voert de Europese NIS2-richtlijn in via de nieuwe Cyberbeveiligingswet (Cbw), die naar verwachting in 2026 van kracht wordt. De wet legt organisaties die als essentieel of belangrijk zijn aangemerkt verplichtingen op om hun digitale weerbaarheid te verhogen en verantwoording af te leggen. Matthijs van Amelsfort, directeur van het Nationaal Cybersecurity Center (NCSC), waarschuwt: “Begin hier op tijd mee,” en benadrukt dat het onderwerp bewustwording in de hele organisatie vereist.

Het aantal ransomware-aanvallen met datadiefstal is het afgelopen jaar verdubbeld; recente incidenten bij onder andere Clinical Diagnostics en diverse gemeenten illustreren dat geen enkele organisatie immuun is. Schade kan zich uiten in financiële verliezen, operationele stilstand, reputatieschade en privacyinbreuken. Tegelijkertijd blijkt uit onderzoek dat in 47% van de gevallen waarin medewerkers met cybercrime werden geconfronteerd geen aangifte of melding is gedaan.

De Cbw introduceert zorg-, meld- en registratieplicht met toezicht op naleving, gericht op het beschermen van eigen systemen en het versterken van de digitale veiligheid in Nederland en Europa. Van Amelsfort wijst erop dat een goede risicoanalyse en het nemen van passende maatregelen tijd en inzet vergen; de wet vraagt om meer dan louter naleving van regels, het vereist draagvlak en cultuurverandering binnen organisaties.

Het NCSC adviseert onder meer: een grondige risicoanalyse, technische en organisatorische maatregelen (zoals patchbeheer, back-ups en multi‑factor authenticatie), incidentresponsprocedures en meldkanalen, ketenbeheer van leveranciers en structurele bewustwordingstrainingen. Organisaties die onder de wet vallen doen er verstandig aan nu te beginnen met voorbereidingen om later gedwongen haasten te voorkomen.