Nieuws 12 november 2025

NCSC: bedrijven moeten zich tijdig voorbereiden op nieuwe cyberbeveiligingswet

In Nederland wordt aan de Europese NIS2-richtlijn invulling gegeven met de Cyberbeveiligingswet (Cbw), die naar verwachting in 2026 in werking treedt. Organisaties moeten op tijd checken of zij onder de wet vallen en zorgen voor een goede voorbereiding.

Daarvoor waarschuwt het Nationaal Cybersecurity Center (NCSC). De nieuwe wet verplicht organisaties die onder de NIS2-richtlijn essentieel of belangrijk zijn, om hun digitale weerbaarheid op orde te brengen en hierover verantwoording af te leggen. "Begin hier op tijd mee", waarschuwt NCSC-directeur Matthijs van Amelsfort. "Het vraagt bewustwording in de gehele organisatie."

Het aantal ransomware-aanvallen gericht op datadiefstal is het afgelopen jaar verdubbeld. Cyberaanvallen zoals bij Clinical Diagnostics en diverse gemeenten laten zien dat de gevolgen groot kunnen zijn: financiële schade, operationele verstoringen, reputatieschade en mogelijke privacy-schendingen.

Te weinig actie

Het versterken van digitale weerbaarheid van organisaties is belangrijker dan ooit, benadrukt het NCSC. Toch blijft actie ondernemen tegen cybercrime achter. Zo toont het deelrapport Bedrijfsleven Alert Online 2025 dat in bijna de helft (47 procent) van de gevallen waarin een medewerker te maken kreeg met cybercrime, geen aangifte of melding gedaan is.

De Cyberbeveiligingswet (Cbw) verplicht organisaties, met de bijbehorende zorg-, meld- en registratieplicht en het toezicht daarop, om hun processen zo in te richten dat ze hun cyberweerbaarheid verhogen. Daarmee beschermen ze niet alleen eigen organisatiebelangen, processen en systemen beter, maar ook de digitale veiligheid van Nederland en Europa, aldus het NCSC.

Voorbereiding

Het nemen van passende maatregelen vraagt om goede voorbereiding, zoals het uitvoeren van een risicoanalyse, het vaststellen van kritieke processen en het nemen van beveiligingsmaatregelen. "Het doen van een goede risicoanalyse en het treffen van passende maatregelen is tijdrovend", stelt Van Amelsfort. "Wacht dus niet af, maar start op tijd met de voorbereidingen."

Om te weten of een organisatie onder de nieuwe wetgeving valt, kan onder meer gebruik worden gemaakt van een zelfevaluatietool van de Rijksoverheid. Organisaties kunnen zich verder registreren bij het NCSC, waardoor ze meer informatie krijgen over dreigingen, kwetsbaarheden en incidenten.

Control framework

Het NCSC wijst ook op het recent door de Auditdienst Rijk en NOREA gelanceerde Cbw Control Framework, dat bestuurders en CISO's inzicht geeft in de huidige situatie rondom digitale weerbaarheid en stappen die nodig zijn richting compliance. 

Om organisaties te ondersteunen bij de voorbereiding op de Cyberbeveiligingswet, bieden diverse overheidsorganisaties informatie aan. Zo biedt het NCSC via de eigen website praktische hulpmiddelen als infosheets en kennisproducten. Ook worden webinars georganiseerd ter voorbereiding op de wet, samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en andere samenwerkingspartners.

Consultatie

Ook startte in de week van 10 november de internetconsultatie van de ministeriële regelingen die onder de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten vallen. Daarin zijn verplichtingen uitgewerkt waaraan bedrijven moeten voldoen en wanneer meldingen precies moeten worden gedaan. De consultatieperiode loopt tot en met zondag 21 december 2025.

De Network and Information Security Directive (NIS2-richtlijn) is eind 2022 vastgesteld door de Europese Unie. De richtlijn wordt omgezet naar de Nederlandse Cyberbeveiligingswet (Cbw). Op het moment dat de Cbw in werking treedt, vervangt die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).