We hebben de afgelopen jaren veel geschreven over afzonderlijke wetten, richtlijnen en normen rond resilience en BCM. NIS2, DORA, Wwke; iedere keer zoomen we in op één kader. De stroom aan nieuwe regels lijkt soms eindeloos. Nieuwe afkortingen, verschillende ingangsdata en uiteenlopende toezichthouders. Tijd voor een recap.

Hoe ziet het resilience-landschap er nu eigenlijk uit? En belangrijker: hoe voorkom je dat je organisatie voor elke wet een apart compliance-raamwerk optuigt zonder een gedegen fundament?

Het wetgevingslandschap

De aankomende Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van NIS2, moet naar verwachting in het tweede kwartaal van 2026 in werking treden. Deze wet richt zich op de digitale weerbaarheid van essentiële en belangrijke entiteiten in onder meer energie, zorg, logistiek en digitale infrastructuur. De kern zit in zorgplicht, risicomanagement, incidentmelding en ketenbeveiliging. Bestuurders krijgen nadrukkelijk verantwoordelijkheid.

Binnen de financiële sector geldt sinds 17 januari 2025 de Digital Operational Resilience Act. DORA stelt aanvullende eisen aan ICT-risicobeheer, uitbesteding, weerbaarheidstesten en incidentrapportage. De nadruk ligt hier sterk op digitale operationele continuïteit en het beheersen van third-party risico’s, met name richting cloud- en ICT-leveranciers.

Voor de overheid geldt het aanvullende normenkader Baseline Informatiebeveiliging Overheid. BIO 2.0 sluit inhoudelijk aan op ISO 27001 (zie de alinea over normenkaders), maar vertaalt deze naar een uniforme baseline voor rijksorganisaties, gemeenten en andere overheden. De focus ligt op informatiebeveiliging, governance en aantoonbaarheid.

Daarnaast is er de Wet Weerbaarheid Kritieke Entiteiten (Wwke), de Nederlandse implementatie van de CER-richtlijn. Deze wet verbreedt het perspectief: niet alleen digitale dreigingen, maar ook fysieke en organisatorische verstoringen moeten systematisch worden geanalyseerd en beheerst. Organisaties in vitale sectoren moeten risicoanalyses uitvoeren en weerbaarheidsplannen opstellen.

Tot slot kennen we sectorspecifieke richtlijnen zoals de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO), die aanvullende beveiligingseisen stellen aan leveranciers van de overheid voor opdrachten met een bepaalde classificatie, inclusief Defensie. Ook hier draait het om informatiebeveiliging, ketenbeheersing en aantoonbare maatregelen, maar dan in een zwaarder gereguleerde context.

Normenkaders

Waar wetgeving voorschrijft wat moet, bieden normen houvast voor hoe je het structureel inricht. De internationale standaard ISO 22301 biedt een gestructureerde aanpak voor Business Continuity Management. Denk aan het uitvoeren van een business impact analyse, het vaststellen van herstelstrategieën en het periodiek testen van scenario’s.

ISO 27001 vormt de basis voor een Information Security Management System. De risicogebaseerde aanpak en de nadruk op continue verbetering sluiten direct aan bij eisen uit NIS2, DORA en BIO.

Met ISO 31000 wordt risicomanagement organisatiebreed verankerd. Deze norm helpt om BCM, cyber en compliance in één samenhangend raamwerk te plaatsen.

Waak voor de eilandjes-aanpak

Wie deze kaders naast elkaar legt, ziet verschillen in doelgroep en detailniveau, maar ook veel overlap in onderliggende principes. De grootste valkuil voor bedrijven en organisaties is de eilandjes-aanpak: voor elke nieuwe wet een apart project, een eigen projectteam en een eigen raamwerk. Een DORA-programma naast een NIS2-traject, een losse Wwke-implementatie, apart van BCM of ISO-certificering. Dat leidt tot versnippering, dubbele documentatie en parallelle governance-structuren. Terwijl de kernvragen niet veranderen: welke risico’s lopen we, hoe beheersen we die en hoe tonen we dat aantoonbaar aan?

Eén solide, integraal raamwerk

De strategische route is het bouwen van één solide, integraal raamwerk voor je kerndisciplines zoals BCM, cybersecurity en crisismanagement, bij voorkeur gebaseerd op erkende ISO-normen. Voer vervolgens per relevante wet een gerichte check uit waar aanvullende eisen of aanscherpingen nodig zijn. Zo waarborg je de continuïteit en weerbaarheid van je organisatie.

De komende periode geven we dit onderwerp ook een vaste plek op onze website. We werken aan een structureel overzicht van relevante wet- en normenkaders rond resilience, inclusief hun onderlinge samenhang. Houd onze site dus in de gaten als je het grotere geheel wilt blijven overzien.

Wil je direct inzicht in hoe jouw organisatie deze verschillende verplichtingen kan vertalen naar één samenhangend resilience-raamwerk? Pragmaat helpt organisaties bij het ontwerpen, toetsen en aanscherpen van BCM-, cyber- en crisisstructuren. Zodat wetgeving geen losse verplichting wordt, maar logisch voortvloeit uit een stevig fundament. Neem contact op met ons team.