Uit onderzoek van het Nationaal Cybersecurity Center blijkt dat het aantal ransomware-aanvallen in het afgelopen jaar is verdubbeld. Ransomware, malware, DDoS-aanvallen en phishing hebben grote gevolgen voor bedrijven en organisaties. De aanvallen leggen de digitale infrastructuur plat, verstoren operationele processen en hackers kunnen flinke dwangsommen eisen om te voorkomen dat gevoelige bedrijfsinformatie op straat komt te liggen. Niet alleen financiële schade is vervelend, maar ook de reputatieschade kan na een hack grote gevolgen hebben voor het bedrijf.
Het Europese Parlement besloot daarom eind 2022 de NIS2-richtlijn aan te nemen. In deze richtlijn staat dat bedrijven hun cyberbeveiliging moeten versterken om netwerk- en informatiesystemen te beschermen, met als doel de gehele Europese Unie beter te beschermen tegen cyberaanvallen. De Nederlandse implementatie van deze wet is de Cyberbeveiligingswet (CBW).
„We proberen organisaties al aan te moedigen te kijken of ze onder de CBW gaan vallen, de organisatie te registreren wanneer ze eronder vallen en ook meteen aan de slag te gaan en niet te wachten tot de wet komt", zegt een woordvoerder van het NCSC.
Matthijs van Amelsfort, directeur van het NCSC, adviseert bedrijven nu al voorbereidingen te treffen. „Het maken van een goede risicoanalyse en het treffen van passende maatregelen is tijdrovend", benadrukt Van Amelsfort. „Wacht dus niet af, maar begin op tijd met de voorbereidingen. Besef ook dat de Cyberbeveiligingswet verder gaat dan compliancy. Het vraagt om bewustwording en een nieuw perspectief in de hele organisatie."
Bedrijven die aan de NIS-richtlijn moesten voldoen kregen hiervoor een oproep. Bij de NIS2, dus de Cyberbeveiligingswet, moeten deze partijen nu zelf onderzoeken of ze en hun leveranciers onder de wet vallen
Willemijn Rodenburg Strategisch adviseur voor Cyberveilig Nederland
Volgens Willemijn Rodenburg, strategisch adviseur voor Cyberveilig Nederland, organisaties hebben zelf nog niet altijd duidelijk wat de implementatie van deze nieuwe wetgeving voor hen betekent. „Bedrijven of organisaties die aan de NIS-richtlijn moesten voldoen, kregen hiervoor een oproep. Bij de NIS2, dus de Cyberbeveiligingswet, moeten deze partijen nu zelf onderzoeken of zij en hun leveranciers onder de wet vallen."
Lees ook: Zorgwekkend: cyberweerbaarheid bedrijfsleven blijft achter bij dreigingsniveau
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is de Europese wetgeving voor cybersecurity, die eind 2022 werd aangenomen door het Europese Parlement. De Nederlandse vertaling van deze richtlijn, de Cyberbeveiligingswet, had op 17 oktober 2024 van kracht moeten gaan, maar werd uitgesteld. Naar verwachting gaat deze wet nu in het tweede kwartaal van 2026 in, afhankelijk van politieke besluitsvorming.
Een gedeelte van de organisaties gaat pas aan de bak wanneer de wet van kracht gaat
Willemijn Rodenburg Strategisch adviseur voor Cyberveilig Nederland
Rodenburg: „Er zijn veel vragen die organisaties nu zelf moeten beantwoorden en maatregelen die ze moeten treffen. Terwijl cybersecurity niet hun specialiteit is. Ik verwacht daarom niet dat bedrijven dan al voorbereid zijn. Integendeel: een deel van de organisaties gaat dan pas aan de bak."
De Cyberbeveiligingswet stelt nieuwe eisen aan de digitale beveiliging van organisaties in sectoren zoals zorg, IT, energie en hun toeleveranciers. Het doel van de NIS2-richtlijn en de Cyberbeveiligingswet is de digitale weerbaarheid van bedrijven en organisaties op orde te brengen. „We proberen als NCSC bedrijven en organisaties zoveel mogelijk op weg te helpen met verschillende uitlegpagina's. Als ze er niet uitkomen, moedigen we ze aan contact met ons op te nemen."
Veel bedrijven moeten voor hun digitale veiligheid nu al voldoen aan de ISO-certificeringen 27001 en 27002. Dit zijn wereldwijd erkende standaarden die bedrijven krijgen als ze een risicogebaseerde aanpak volgen. Rodenburg: „Je weet nooit wat er gaat gebeuren, maar ik verwacht dat er geen nieuwe certificeringen bij komen. Organisaties moeten vooral hun risico's in kaart brengen en op basis daarvan maatregelen nemen."
Moet mijn bedrijf aan de Cyberbeveiligingswet voldoen?
De Cyberbeveiligingswet geldt vanaf maart voor de meeste Nederlandse bedrijven. Voldoen aan de wetgeving is verplicht voor bedrijven met meer dan 50 werknemers of een jaaromzet van 10 miljoen euro in een van de volgende sectoren: energie, transport, bancaire sector, gezondheidszorg, waterzuiveringsbedrijven, overheidsdiensten, digitale infrastructuur, ICT-bedrijven, chemische sector, levensmiddelen, bezorgdiensten en afvalstoffenbeheer.
Cyberveilig Nederland gaat ervan uit dat de toezichthouder bij iedere sector anders kijkt naar de implementatie van de wet. „Is een goed verhaal voldoende? Of moet een bedrijf aan bepaalde standaarden voldoen? Als je ISO-gecertificeerd bent, gaat de toezichthouder niet zeggen dat je gelijk aan de nieuwe wet voldoet. Een NIS2- of CBW-certificering bestaat namelijk niet", zegt Rodenburg.
Bestuurders worden bij de cyberbeveilingswet aansprakelijk gesteld.
Willemijn Rodenburg Strategisch adviseur voor Cyberveilig Nederland
Volgens Rodenburg is het belangrijk dat organisaties de monitoring op orde hebben en een incidentresponse gereed hebben staan als het dreigt mis te gaan. „Bestuurders worden bij de Cyberbeveiligingswet aansprakelijk gesteld. Dat betekent dat C-level zich ook moet bijscholen om te weten aan welke verplichtingen ze moeten voldoen."
Om bedrijven goed voor te bereiden op de nieuwe cyberbeveiligingswetgeving heeft het NCSC verschillende uitlegpagina's gepubliceerd en een tool ontwikkeld. Een woordvoerder van NCSC: „We adviseren bedrijven en organisaties allereerst te kijken naar vijf basisprincipes: risico in kaart brengen, bevordering van veilig gedrag op de werkvloer, bescherming van systemen en apparaten, beheer van diensten en systemen en voorbereiding op incidenten. We hebben hiervoor verschillende tools uitgebracht."
Lees ook: Waarschuwingen en advies van experts: dit is wat een CEO moet weten over cybersecurity
NIS2 voor internationale bedrijven
Rodenburg geeft aan dat het ministerie van Justitie en Veiligheid een handreiking heeft geschreven ter verduidelijking voor organisaties die gevestigd zijn in meerdere landen. Voor een digitale dienstverlener of een mondiaal opererend bedrijf gelden er namelijk andere regels. „Wanneer je een Nederlands digitale dienstverlener bent die de hoofdvestiging in België heeft, dan dient het zich aan de Belgische wetten te houden. Als er in België dan een hack plaatsvindt moet de Nederlandse partij wel melding maken bij de toezichthouder", vertelt Rodenburg. „Bij een digitale dienstverlener geldt daarnaast nog dat ze een meldplicht en zorgplicht hebben in alle landen waarin ze actief zijn." Wanneer de organisatie géén digitale dienstverlener is dan valt de entiteit onder de Nederlandse jurisdictie.
Een organisatie van buiten Europa die in Nederland diensten levert maar geen vestiging heeft moet zich ook aan de regels houden van het land. „Dit bedrijf moet dan een vertegenwoordiger aanwijzen", voegt Rodenburg toe. „We zien dat de klanten van de cybersecuritybedrijven die bij ons zijn aangesloten veel vragen hebben over hoe ze aan de wetgeving moeten voldoen."
Lees ook: Nederlandse bedrijven wapenen zich beter tegen cyberaanvallen, maar blijven kwetsbaar
Tien zorgplichtmaatregelen
Om aan de Cyberbeveiligingswet te voldoen zijn er tien zorgplichtmaatregelen opgesteld door het NCSC. De maatregelen zijn: maak een risicoanalyse, richt incidentrespons in, bereid je voor op uitval, maak je toeleveringsketen veilig, zorg dat je cyberhygiëne op orde is, beveilig netwerk- en informatiesystemen, versterk de beveiliging op het gebied van personeel, toegang en assetbeheer, gebruik passkeys voor authenticatie, stel cryptografiebeleid op en beoordeel de effectiviteit van maatregelen.
Digital Trust Center
Om bedrijven te helpen met cyberbeveiliging heeft het Ministerie van Economische Zaken het Digital Trust Center opgezet. Het centrum heeft een beveiligd platform, genaamd DTC Community, ontwikkeld waar 6.000 cybersecurityprofessionals en ondernemers kennis kunnen delen en praktische vragen kunnen stellen. Het Digital Trust Center organiseert daarnaast ook verschillende webinars waarin ze uitleg geven over cyberveiligheid.
Rodenburg waarschuwt dat er op online veel berichten rondgaan van bedrijven die beweren dat ze organisaties aan 'het vinkje' kunnen helpen. „Het is de toezichthouder en straks het wettelijke kader die bepalen of het bedrijf het goed doen. Een cybersecuritybedrijf kan hooguit helpen met monitoren of detectie, maar niet bepalen of jij aan het kader voldoet."
Tot zondag 21 december 2025 lopen er nog verschillende internetconsultaties voor de wet. Hier kunnen mensen input leveren op de wet en voorstellen doen. Woordvoerder NCSC: „Daarna volgt een debat over de implementatie van de CBW. De partijen kunnen op de wet reageren, waarna de wet wordt doorgestuurd naar de Eerste Kamer."
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
