Cyberbeveiligingswet uitgelegd: impact en aandachtspunten op een rij

Waar de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vooral gericht was op vitale infrastructuur, zoals energie en telecom, gaat de Cyberbeveiligingswet een stuk breder. Veel organisaties met een maatschappelijke of economische functie vallen straks onder deze wet. Denk aan overheden, zorginstellingen, logistieke organisaties, voedingsindustrie en digitale dienstverleners. Daarbij geldt een omvangcriterium van meer dan 50 medewerkers of een jaaromzet of balanstotaal van meer dan € 10 miljoen. 

Ook organisaties die niet direct onder de Cyberbeveiligingswet vallen, krijgen er in de keten mee te maken. Organisaties die wél onder de wet vallen, zullen namelijk strengere eisen stellen aan hun leveranciers en partners. De impact kan dus ook zitten in strengere contractuele eisen, aanvullende audits en hogere verwachtingen van klanten rondom informatiebeveiliging. Cyberveiligheid wordt dan niet direct een wettelijke plicht, maar wel een voorwaarde om zaken te blijven doen. 

Doordacht risicomanagement 

De Cyberbeveiligingswet schrijft geen vaste checklist of normenkader voor. En dat is een bewuste keuze. De kern van de wet is dat organisaties zelf het denkwerk doen. Dat begint met een gedegen risicoanalyse: welke cyberrisico’s zijn voor onze organisatie relevant? En welke impact hebben die risico’s mogelijk op de maatschappij en de economie? Op basis daarvan bepalen organisaties welke beveiligingsmaatregelen passend en proportioneel zijn bij hun eigen risicoprofiel. 

De toezichthouder verwacht bovendien dat organisaties voor de maatregelen aantoonbaar compliant zijn. Niet alleen op papier, maar ook in de praktijk. Toezichthouders krijgen ruimere bevoegdheden om te controleren of organisaties hun cyberverplichtingen daadwerkelijk naleven. Bij tekortkomingen kunnen zij corrigerend optreden. 

De Cyberbeveiligingswet draait dus niet alleen om vinkjes zetten, maar om onderbouwde keuzes, verantwoord risicomanagement en aantoonbare naleving.  

Een bestuurlijke verantwoordelijkheid 

Een belangrijk element is de expliciete rol van bestuurders en toezichthouders. Cyberbeveiliging is met de nieuwe wet niet langer iets dat je volledig kunt neerleggen bij de IT‑afdeling of een externe IT‑leverancier. Bestuur en toezicht moeten aantoonbaar betrokken zijn bij het identificeren en beoordelen van cyberrisico’s. Dat vraagt om basiskennis van digitale dreigingen, actieve betrokkenheid bij besluitvorming en structurele aandacht voor digitale weerbaarheid binnen de governance van de organisatie. 

De open formulering van de wet maakt deze verantwoordelijkheid extra complex. Er is geen vast recept waarop bestuurders kunnen terugvallen. Juist daarom is het essentieel dat het bestuur richting geeft, keuzes onderbouwt en kan uitleggen waarom bepaalde maatregelen wel of juist niet zijn getroffen. 

Meer aandacht voor risico’s in de leveranciersketen  

De Cyberbeveiligingswet legt veel meer nadruk op cyberrisico’s in de toeleveringsketen dan voorheen. Organisaties moeten niet alleen hun eigen digitale weerbaarheid op orde hebben, maar ook grip krijgen op de risico’s die leveranciers en partners met zich meebrengen.  

In de praktijk blijkt third‑party riskmanagement bij veel organisaties nog een aandachtspunt. Het bijhouden van een volledig en actueel overzicht van leveranciers en contracten is al een uitdaging op zich. Laat staan inzicht krijgen in het cyberbeveiligingsniveau van die partijen. De verwachting is dat de Cyberbeveiligingswet extra druk zet op bestaande assurance‑mechanismen, zoals ISO‑certificeringen. 

Tegelijk ontstaan er nieuwe initiatieven om vertrouwen in de keten werkbaar te maken. Zo stimuleert Samen Digitaal Veilig het gebruik van het NIS2 Quality Mark: een laagdrempelig kwaliteitskeurmerk waarmee mkb‑ondernemingen kunnen aantonen dat hun cyberbeveiliging op orde is.  

Hoe bereid je je voor?  

Valt jouw organisatie, direct of indirect, onder de reikwijdte van de Cyberbeveiligingswet? Dan is dit het moment om in actie te komen. Start met het uitvoeren van een context‑ en risicoanalyse, samen met bestuur en toezicht. Betrek hen actief in het meedenken en richting geven. De Cyberbeveiligingswet vraagt immers om aantoonbare bestuurlijke betrokkenheid. 

Vervolgens is een nulmeting een logische vervolgstap. Dit geeft inzicht in de huidige staat van informatiebeveiliging en laat zien waar de belangrijkste aandachtspunten liggen. Met deze inzichten kunnen vervolgens passende technische en organisatorische maatregelen worden ingericht. Denk aan een robuuste incidentrespons, adequate continuïteitsplanning en structureel leveranciers‑ en ketenmanagement. Geen losse acties, maar een samenhangend geheel dat past bij het risicoprofiel van jouw organisatie. 

Ondersteuning bij de Cyberbeveiligingswet 

Baker Tilly ondersteunt organisaties bij het verkrijgen van inzicht in de impact van de Cyberbeveiligingswet. Onze experts helpen bij het in kaart brengen van relevante cyberrisico’s en het beoordelen van de huidige stand van zaken ten opzichte van de wettelijke vereisten. Daarbij besteden we expliciet aandacht aan de rol van bestuur en toezicht.  

De uitkomsten vertalen wij naar een helder en bestuurlijk begrijpelijk adviesmemo, met concrete aandachtspunten en vervolgstappen richting aantoonbare cyberweerbaarheid. 

Wil je sparren over wat de Cyberbeveiligingswet betekent voor jouw organisatie, of heb je vragen over de voorbereiding hierop? Neem gerust contact op met een van onze adviseurs.

Cyberbeveiligingswet in de zorg

De aankomende Cyberbeveiligingswet (Cbw) heeft ingrijpende gevolgen voor zorgorganisaties. Cybersecurity wordt nadrukkelijk een bestuurlijke verantwoordelijkheid en vraagt om aantoonbare keuzes op het gebied van governance, compliance en cyberweerbaarheid. 

Wet- en regelgeving op dit gebied kan onderhevig zijn aan verandering. Wij raden je aan om met jouw Baker Tilly adviseur te overleggen over de impact hiervan.