1. Home
  2. Actueel
  3. De Tweede Kamer zet door met de Cyberbeveiligingswet/NIS2 - Wat kun/moet je nu doen en waarom?

11 sep 2025

De Tweede Kamer zet door met de Cyberbeveiligingswet/NIS2 - Wat kun/moet je nu doen en waarom?

In de commissievergadering Justitie en Veiligheid is 18 juni 2025 besloten om de Cyberbeveiligingswet (Cbw) niet controversieel te verklaren en om de wet in september in de commissie verder te behandelen. Dat geldt ook voor de Wet weerbaarheid kritieke entiteiten (Wwke).

Volgens de planning van de minister treden deze wetten in het tweede kwartaal van 2026 in werking. Dan moeten onder andere overheids- en zorgorganisaties voldoen aan de wet. Hoogste tijd dus om je organisatie daarop voor te bereiden. Maar waar te beginnen?

In deze blog lees je meer over het huidige niveau van cyberveiligheid, dat investeringen in cyberveiligheid lonen, wat jouw organisatie kan doen om te voldoen aan de zojuist genoemde wetten, hoe BMC kan helpen en wat dat oplevert.

Huidige niveau van cyberveiligheid

In de afgelopen jaren is er al veel gebeurd op het gebied van cyberbeveiliging: bij de overheid in het kader van de BIO, in de zorg op basis van NEN7510, maar in veel organisaties zit cyberveiligheid nog niet op het niveau dat de nieuwe wet vereist. Vaak staan organisaties voor dilemma’s als het gaat om prioriteiten stellen en de toekenning van budgetten: gaat er prioriteit en geld naar “handen aan het bed” of moeten we de randvoorwaardelijke cyberveiligheid op een hoger niveau brengen?

Investeringen in cyberveiligheid lonen

In 2019 werd de Universiteit Maastricht lamgelegd door een ransomwareaanval en een jaar later trof een vergelijkbare aanval de gemeente Hof van Twente. Toch zijn, ondanks de sterke toename van ransomwareaanvallen, de gevolgen voor de publieke sector in de afgelopen jaren niet zo catastrofaal gebleken. Dat komt doordat veel organisaties hun cyberbeveiliging hebben verbeterd, met name:

  • Preventieve maatregelen door sterkere beveiliging en grotere bewustwording bij medewerkers. De bovengenoemde incidenten hebben daaraan bijgedragen.
  • Detectieve maatregelen: door het bewaken (monitoren) van systemen en netwerken worden aanvallen vroeger opgemerkt en kunnen hackers worden gedwarsboomd, voordat grote schade optreedt. Door tijdige detectie kon de TU Eindhoven in januari 2025 verhinderen dat data werden versleuteld.
  • Herstelmaatregelen: de gegevens van de gemeente Buren werden in 2022 weliswaar versleuteld, maar konden dankzij een goed beschermde back-up worden hersteld. 

Desondanks zijn in verschillende gemeenten en zorginstellingen wel delen van de dienstverlening lamgelegd en zijn gegevens van inwoners gestolen. Dat is nog steeds een heftige impact die om meer aandacht vraagt. Dat de politiek dit herkent, blijkt op Europees niveau uit de NIS2-richtlijn en op landelijk niveau uit het niet controversieel verklaren van de Cbw en de Wwke. 

Wat te doen?

Met de Cyberbeveiligingswet wordt cyberbeveiliging verplicht en worden bestuurders persoonlijk verantwoordelijk gemaakt. Wat kun je als organisatie doen om hier invulling aan te geven?

  • Informeer bestuurders over hun verantwoordelijkheden en hun opleidingsverplichting. Nu deelnemen aan een opleiding zorgt dat bestuurders hun verantwoordelijkheid proactief kunnen invullen (ook al hoeven ze over twee jaar pas aan te tonen dat ze deze opleiding gevolgd hebben). BMC biedt deze opleiding aan. https://www.bmc.nl/opleidingen-trainingen/cyberveiligheid-volgens-nis2-voor-bestuurders 
  • Inventariseer in hoeverre de organisatie aantoonbaar voldoet aan de BIO2 (overheidsorganisaties) of NEN7510 (zorginstellingen) door documentatie te verzamelen over de beschreven werkwijze, de implementatie en periodieke controles daarvan. Voldoen betekent: 
    • De verbetercyclus en beveiligingsmaatregelen zijn beschreven.
    • Uit de verzamelde documentatie blijkt dat de verbetercyclus en beveiligingsmaatregelen worden uitgevoerd.
    • Er worden structurele periodieke checks gedaan op de uitvoering van de verbetercyclus en beveiligingsmaatregelen.
  • Laat de verbetercyclus, de beveiligingsmaatregelen en de aantoonbaarheid daarvan onafhankelijk toetsen. Onze ervaring is dat dit voor veel organisaties nieuwe inzichten oplevert en onvermijdelijke blinde vlekken zichtbaar maakt.
  • Laat een penetratietest uitvoeren door een bureau met het CCV-keurmerk Penetratietesten. Daarmee wordt duidelijk dat/of de beveiligingsmaatregelen ook daadwerkelijk effectief zijn. Bij een goede penetratietest wordt ook onderzocht welk beeld hackers krijgen van de organisatie op basis van publiek beschikbare informatie, onder andere in het dark web. Hoe aantrekkelijk ziet uw organisatie eruit voor hackers?
  • Stel een bedrijfscontinuïteitsplan op, aanvullend aan de BIO2, zodat u bij een onverhoopte gebeurtenis (bijvoorbeeld stroomuitval of een cyberaanval) uw dienstverlening (op een minimaal niveau) kunt voortzetten, (ook zonder of met beperkte IT-middelen) en snel uw reguliere dienstverlening kunt herstellen.
  • Maak een verbeterplan met prioriteiten op basis van risicoanalyses.
  • En het állerbelangrijkste: voer het verbeterplan uit en test de crisisplannen.

Expertise, ervaring en capaciteit is randvoorwaardelijk

Niet alle organisaties beschikken over voldoende expertise, ervaring en/of capaciteit voor een grondige aanpak van (cyber)beveiliging. Daarom ondersteunt BMC organisaties met onder andere:

  • workshops en training voor bestuurders en management, bij u op locatie of bij de BMC Academie (https://www.bmc.nl/opleidingen-trainingen/cyberveiligheid-volgens-nis2-voor-bestuurders);
  • inventarisaties en onafhankelijke toetsing (assessments, audits) op basis van BIO2, NEN7510 of ISO27001;
  • penetratietesten in samenwerking met onze partner Cybercloud;
  • het uitvoeren van risicoanalyses en het opstellen van verbeterplannen en de begeleiding van de uitvoering. 

Wat levert het op?

Met deze stappen wordt je organisatie weerbaar tegen cyberaanvallen en kan snel herstellen bij een eventuele cyberaanval. Daarmee geven de organisatie en de bestuurders invulling aan hun verantwoordelijkheid, waarmee ze voldoen aan de Cyberbeveiligingswet. 

Meer weten?

Meer weten over organisatie, governance en compliance? Neem dan contact op met onderstaande adviseur:


Julius Duijts
partner informatiebeveiliging, CISSP CEH CIPP/E


"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."

 

Meer informatie over informatiebeveiliging

Deze expertise valt onder informatiebeveiliging binnen het domein data en dienstverlening.

BLOG DATA-EN-DIENSTVERLENING DIGITALE-TRANSFORMATIE