Cyberbeveiligingswet wake-upcall voor beheer van digitale assets

    - - / 11 juni 2026

    Dit blog kwam tot stand in samenwerking met Michiel Henneke van SIDN.

    De Cyberbeveiligingswet (implementatie van de Europese NIS2 richtlijn) heeft grote impact op organisaties die digitale diensten leveren of afnemen. Veel aandacht gaat uit naar governance en incidentmeldingen, maar een onderbelicht onderdeel is de impact op digitale assets zoals domeinnamen, DNS en hosting. In dit blog zetten we de belangrijkste consequenties op een rij.

    Cyberbeveiligingswet dekt de basis

    Hoewel de Cyberbeveiligingswet veel impact heeft op de belangrijke en essentiële entiteiten waarop zij van toepassing is, zijn het eigenlijk heel primaire eisen. De wet eist dat je als organisatie je basis op securitygebied op orde hebt. Organisaties die al werken volgens normen als ISO 27001 hebben vaak al veel op orde met betrekking tot de zorgplicht. Hier en daar kunnen er nog aanvullende eisen zijn. Dat neemt niet weg dat de Cyberbeveiligingswet aanvullende verplichtingen introduceert, zoals specifieke meldplicht, registratie-eisen en verantwoordelijkheid op bestuursniveau.

    Zorgplicht in de keten

    Een belangrijk aspect van de wet is de zorgplicht om te verifiëren of je leveranciers aan bepaalde basiseisen voldoen. Een logische eis, omdat leveranciers vaak de bron van incidenten zijn, maar wel een eis die veel extra werk meebrengt. De ketenvereisten kunnen ertoe leiden dat ook partijen die zelf niet onder de wet vallen ermee te maken krijgen.

    Standaardiseer je informatievoorziening

    Ben je leverancier van belangrijke of essentiële partijen onder de Cyberbeveiligingswet? Dan kan het zijn dat je door deze partijen gevraagd wordt om te bewijzen dat je compliant bent. Hoe belastend dat is, hangt af van het aantal klanten dat het betreft. Veel organisaties kiezen ervoor om deze informatie centraal beschikbaar te maken, bijvoorbeeld via een trustpagina of standaard beveiligingsverklaring.

    Verplichting alleen in directe contractuele relaties

    Een misverstand over de Cyberbeveiligingswet is dat het je als leverancier zou verplichten om details uit overeenkomsten met je klant te delen, bijvoorbeeld over je toeleveranciers. Dat is onjuist. Je moet kunnen aantonen dat je cyberbeveiliging op orde is en dat er bijvoorbeeld processen zijn ingericht om onder meer jouw eigen leveranciers te controleren. En je hoeft de onderliggende overeenkomsten met onderaannemers niet te openbaren.

    Websites en domeinnamen apart benoemd

    Bij je registratie op https://mijn.ncsc.nl moet je ook opgeven welke domeinnamen je organisatie gebruikt. Dat is niet heel verrassend. DNS en domeinnamen zijn cruciale onderdelen van digitale infrastructuur en vormen regelmatig een ingang voor aanvallen, zoals phishing of domeinkaping. De expliciete opname in de wet onderstreept dan ook dat deze laag aantoonbaar beheerst moet worden.

    Omvang en plaats in de keten geen criterium

    Daarbij maakt het niet uit of je reseller bent van een andere partij of dat je DNS alleen als onderdeel van bredere IT-werkzaamheden aanbiedt. Het is dus zaak je in de wet te verdiepen als je in de digitale-infrastructuursector werkt, want hoewel ook kleine partijen in deze sector een basiskennis van security hebben, waren wetten zoals de cyberbeveiligingswet tot voor kort niet op hen van toepassing. Dit betekent bijvoorbeeld dat een hostingprovider moet kunnen aantonen hoe zij patchmanagement, monitoring en incidentrespons heeft ingericht, zodat klanten aan hun eigen verplichtingen kunnen voldoen.

    Valideren houdergegevens domeinnamen

    Een laatste punt uit de wet dat we willen uitlichten, is de eis om gegevens van een domeinnaamhouder te valideren. In ieder geval bij de registratie van een nieuwe domeinnaam, maar op gezette tijden ook voor bestaande registraties. In Nederland kan dat waarschijnlijk via een per mail verzonden bevestiging, maar de exacte eisen kunnen per lidstaat verschillen. Heb je een internationaal domeinnaamportfolio, zoek dan goed uit aan welke eisen je bij registraties moet voldoen en wanneer je de gegevens bij bestaande domeinnamen moet valideren.

    Wat nu?

    Een goed startpunt is vaststellen of de Cyberbeveiligingswet op jouw organisatie van toepassing is. Breng vervolgens je digitale assets (zoals domeinnamen, DNS en hosting) en relevante leveranciers in kaart. Voer daarna een gap analyse uit om te bepalen waar aanvullende maatregelen nodig zijn, met extra aandacht voor ketenverantwoordelijkheid. Zorg tot slot dat je compliance ook aantoonbaar en efficiënt kunt onderbouwen richting klanten en toezichthouders.

    Heb je vragen na het lezen van dit blog? Neem dan contact met ons op.

    Neem contact op
    Terug naar overzicht

    Melanie van Leeuwen

    Compliance Consultant
    Lees meer
    CTA - Security compliance

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram