In 2026 treedt de Cyberbeveiligingswet (Cbw) in werking. En het NCSC is daar opvallend duidelijk over: de meeste organisaties gaan te laat beginnen. Niet omdat de regels zo ingewikkeld zijn, maar omdat de wet een ongemakkelijke realiteit blootlegt: organisaties moeten zelf vaststellen of ze eronder vallen, en vervolgens hun cyberweerbaarheid aantoonbaar op orde brengen. Dat vraagt geen checklist, maar bewustwording en verandering in de hele organisatie.

De Cbw zal naar verwachting in Q2 2026 ingaan. Dat lijkt ver weg, maar voor veel organisaties is dat misleidend. Zodra de wet geldt, moeten Nederlandse entiteiten die onder de wet vallen ook daadwerkelijk voldoen, zonder overgangstermijn of uitstel. Het devies van het NCSC is dan ook: begin op tijd, want de ervaring leert dat risicoanalyses, governance, procesafspraken en technische maatregelen meer tijd kosten dan gedacht.

Zelf bepalen

Een van de meest onderschatte onderdelen van de Cbw is dat de overheid niet gaat controleren of je onder de wet valt. Organisaties moeten dit zelf vaststellen, op basis van sector, omvang en impact. Onder de Cbw vallen onder andere energie, zorg, transport, financiële diensten, maakindustrie, digitale infrastructuur en ICT-providers. Maar ook accountants en zakelijke dienstverleners kunnen onder de wet vallen. De grens ligt bij meer dan 50 medewerkers of meer dan 10 miljoen euro balanstotaal. De zelfevaluatietool van RDI helpt, maar lost het echte vraagstuk niet op: je moet je eigen rol, ketenafhankelijkheden en kritieke processen kennen.

De kernverplichtingen

De Cbw introduceert een stevige zorgplicht. Veel organisaties focussen op ‘het voldoen aan de norm’, maar missen de essentie: de Cbw vraagt om aantoonbare beheersing en een doorlopende verbetercyclus. Organisaties moeten onder andere:

• een risicoanalyse uitvoeren
• kritieke processen en afhankelijkheden vaststellen
• passende beveiligingsmaatregelen nemen
• incidenten tijdig melden
• governance en verantwoordelijkheden helder beleggen
• een Incident Response Plan hebben
• structureel kunnen aantonen dat maatregelen werken

Waar organisaties nu vastlopen

Veel organisaties worstelen bij de voorbereiding op de Cyberbeveiligingswet met dezelfde patronen: het bewustzijn buiten de IT-afdeling is beperkt, eigenaarschap op directieniveau ontbreekt vaak en kritieke processen zijn onvoldoende scherp gedefinieerd. Tegelijkertijd zien we dat organisaties die wel voortgang boeken drie zaken op orde hebben: duidelijke bestuurlijke verankering op een niveau dat beslissingen kan nemen, focus op wat echt niet mag uitvallen als fundament voor prioritering, en een realistische, aantoonbare roadmap.

Starten in vier stappen

Organisaties die nog moeten beginnen, doen er goed aan de voorbereiding te organiseren in vier stappen:

Stap 1: Vaststellen of je onder de wet valt. Gebruik de RDI-zelfevaluatie, maar toets vooral intern of de afhankelijkheden, rol in de keten en kritieke diensten kloppen.

Stap 2: Start met de basiscontroles. Het Cbw Control Framework (Auditdienst Rijk/Norea) is hiervoor een praktisch vertrekpunt. Het geeft bestuurders en CISO’s inzicht in de huidige situatie en de gaten die nog moeten worden gedicht.

Stap 3: Zorg voor een Incident Response Plan. Niet alleen een document: testen, oefenen en verbeteren. Incidentrespons is een van de eerste punten waar de toezichthouder naar kijkt.

Stap 4: Koppel het proces aan continuïteit. Maak de vertaalslag naar Business Continuity en governance: wie neemt beslissingen? Wie meldt incidenten? Hoe borg je de verbetercyclus?

Hoewel deze stappen logisch lijken, blijkt de uitvoering in de praktijk vaak lastiger dan gedacht. Veel organisaties weten wat er moet gebeuren, maar niet hoe ze het proces gestructureerd moeten opstarten, of waar ze moeten beginnen. Pragmaat helpt door de stappen te vertalen naar concrete acties, rollen, besluitvorming en een werkbare volgorde, zodat organisaties niet alleen voldoen aan de Cbw, maar ook daadwerkelijk beter voorbereid zijn op verstoringen. Meer weten? Neem contact op met ons team.