Cbw komt eraan. Ben jij klaar voor de nieuwe cybersecurity-verplichtingen?

Wendy Kooistra
Wendy Kooistra

27 mei 2026

Recentelijk hebben we gezien hoe cyberaanvallen steeds vaker en impactvoller worden. Denk aan de hacks bij Odido, Rituals en Chipsoft waar miljoenen klantgegevens op straat kwamen te liggen. Maar niet alleen technologie drijft deze veranderingen: ook wetgeving legt de lat hoger voor veiligheid, privacy en compliance.

Als technisch partner zien wij het als onze verantwoordelijkheid om organisaties hierin te begeleiden. Want één ding is zeker: de Cyberbeveiligingswet (Cbw) komt eraan. Op 15 april 2026 is de wet aangenomen door de Tweede Kamer. Naar verwachting treedt deze later dit jaar in werking. Tijd om in actie te komen.

Wat is de Cyberbeveiligingswet (Cbw) precies?

De Cbw is de Nederlandse vertaling van de Europese NIS2-richtlijn en raakt veel meer organisaties dan je misschien denkt. Niet alleen bedrijven in kritieke sectoren (zoals energie, zorg, vervoer en digitale infrastructuur), maar ook hun toeleveranciers moeten voldoen aan de eisen. En eigenlijk doet elke organisatie er verstandig aan om hier rekening mee te houden.

De harde feiten op een rij:

  • Persoonlijke aansprakelijkheid: Bestuurders kunnen boetes krijgen als hun organisatie niet voldoet aan de eisen. Deze kunnen oplopen tot €2 miljoen of 4% van de wereldwijde omzet – afhankelijk van wat hoger is.
  • Meldplicht binnen 24 uur: Bij een ernstig incident (zoals een datalek of ransomware-aanval) moet je dit direct melden bij het Nationaal Cyber Security Centrum (NCSC) en de Autoriteit Persoonsgegevens (AP).
  • Herstelplan verplicht: Je moet kunnen aantonen dat je binnen korte tijd weer operationeel bent na een verstoring. Dit betekent dat je scenario’s moet hebben voor verschillende soorten incidenten.

Bedrijven willen wel de lusten van digitalisering, maar niet de lasten. Dat werkt niet zo.”

— Nitesh Bharosa, Hoogleraar TU Delft (Financieele Dagblad)

De realiteit: Bedrijven lopen achter

Uit recent onderzoek (o.a. in het FD) blijkt dat veel organisaties nog niet voorbereid zijn op de Cbw.
Dit zijn de grootste uitdagingen:

  1. Complexiteit: Cybersecurity is geen IT-kwestie, maar een bedrijfsbreed thema. Het raakt afdelingen als compliance, HR, juridisch en natuurlijk IT.
  2. Kosten vs. baten: Investeren in beveiliging voelt vaak als een last, totdat een hack ineens miljoenen kost. Denk aan de gevolgen voor Odido, waar gegevens van 6,4 miljoen klanten werden gestolen.
  3. Schijnveiligheid: Sterke muren bouwen heeft geen zin als de voordeur wagenwijd openstaat. Voorbeelden: onversleutelde data, zwakke wachtwoorden, of gebrek aan multi-factor authenticatie (MFA).

Tijd en geld: Wat kost compliance?

De cijfers liegen er niet om:

  • Grote bedrijven hebben gemiddeld 6.700 uur nodig om klaar te zijn voor de wet.
  • Daarna kost naleving nog eens 3.500 uur per jaar.
  • Middelgrote bedrijven besteden ruim 1.200 uur per jaar aan naleving.
  • Training en governance kosten middelgrote bedrijven €4.000, grote bedrijven €11.000 per jaar.

Acties die je NU kunt uitvoeren

De Cyberbeveiligingswet komt eraan – of je er klaar voor bent of niet. Gelukkig zijn er concrete stappen die je vandaag al kunt zetten om voorbereid te zijn.

1. Versleutel je data (en bewaar alleen wat nodig is)

Hacks hebben minder impact als de gestolen data onbruikbaar is. Zorg dus dat gevoelige data end-to-end versleuteld is. Weet je zeker dat je alleen noodzakelijk data hebt opgeslagen? En heb je gecontroleerd of je gebruikmaakt van gekwalificeerde vertrouwensdiensten, zoals elektronische handtekeningen en tijdstempels (die voldoen aan eIDAS-normen)? Nog niet? Kies dan tools die al voldoen aan strenge Europese eisen.

2. Check je toeleveranciers

De Cbw verplicht je om ook de beveiliging van je partners te controleren. Vraag jezelf: Heb ik een overzicht van alle leveranciers met toegang tot je systemen? Zijn er contractuele afspraken over cybersecurity, zoals meldplichten bij datalekken? Dit geeft je een voorsprong mocht het zover komen.

3. Maak een incidentresponseplan

Bij een hack telt elke minuut. Zorg dat je scenario’s klaar hebt liggen voor verschillende soorten incidenten (denk aan: ransomware, datalek, DDoS). Zorg dat alle rollen en verantwoordelijkheden helder zijn. Wie belt bijvoorbeeld het NCSC? Wie communiceert naar klanten? En tenslotte: Maak ook
Back-ups die offline en versleuteld zijn opgeslagen. Een goede voorbereiding is het halve werk.

4. Train je bestuurders

Security is niet alleen een zorg van de IT-afdeling. Wees er van bewust dat de wet governance-eisen stelt aan bestuurders. Zorg dus dat ze de risico’s begrijpen en weten wat hun verantwoordelijkheden zijn bij een incident.

De invloed van AI op security

Vorige maand publiceerden we een blog over de rol van AI binnen security. Hierin gaan we dieper in op hoe AI zowel kansen als risico’s met zich meebrengt. Zo kan AI helpen om kwetsbaarheden sneller te detecteren, maar worden ook cybercriminelen slimmer door AI-tools. Daarnaast bespreken we hoe de NIS2-richtlijn hierop aansluit en geven we praktische tips om je organisatie weerbaarder te maken.

Pau Comellas ter Haar
Meer weten over dit blog?
Bel of e-mail met Pau Comellas ter Haar:
088-5553300welcome@enrise.com

Gerelateerd leesvoer

security

De invloed van AI op security (en hoe wij daar mee omgaan)

->
Tim de Pater

10 april 2026