Er zijn van die momenten waarop iets wat lang ver weg voelde, ineens concreet wordt. De stemming over de Cyberbeveiligingswet (Cbw) in de Tweede Kamer is zo’n moment. Niet omdat er die dag iets drastisch veranderde, maar omdat de ruimte om af te wachten er sindsdien een stuk kleiner op is geworden.
Voor overheidsorganisaties is dit precies zo urgent als het klinkt.
Waar staan we nu?
De Tweede Kamer heeft ingestemd met de Cbw, de Nederlandse uitwerking van de Europese NIS2-richtlijn. De Eerste Kamer moet zich er nog over buigen, maar de koers is bepaald. Het kabinet streeft ernaar de wet in het tweede kwartaal van 2026 in werking te laten treden. Samen met de Wet weerbaarheid kritieke entiteiten (Wwke) en de bijbehorende lagere regelgeving.
Voor de overheid betekent dat concreet: de BIO2 wordt de verplichte norm. Niet als ambitie, maar als wettelijke eis met toezicht erachter.
Waarom dit anders is dan de vorige keer
Bij de introductie van de oorspronkelijke BIO was er tijd. Tijd om te wennen, tijd om plannen te maken, tijd om het later nog te doen. Die luxe bestaat nu niet meer op dezelfde manier.
BIO2 is op 24 september 2025 officieel vastgesteld. Voor provincies, waterschappen en de Rijksoverheid geldt die al als verplichtende zelfregulering. Voor gemeenten blijft BIO v1.04 voorlopig de formele norm, maar zodra de Cbw in werking treedt, verandert dat. En die datum komt snel genoeg.
Wat ook anders is: BIO2 vraagt een andere manier van werken. De vertrouwde BBN-niveaus, waarbij je kon redeneren vanuit een vaste schil van maatregelen, zijn verdwenen. Daarvoor in de plaats komt een risicogerichte aanpak. Dat klinkt abstract, maar de praktische gevolgen zijn heel concreet. Je kunt niet meer volstaan met een afgevinkte lijst. Je moet kunnen uitleggen waarom je de keuzes hebt gemaakt die je hebt gemaakt, welke risico’s je accepteert en wie daarvoor bestuurlijk verantwoordelijk is.
Dat laatste is precies waar het voor veel organisaties wringt.
Het echte probleem is niet technisch
Vraag een willekeurige CISO bij een gemeente of provincie hoe het staat met informatiebeveiliging en het antwoord is zelden “we doen niets.” Er zijn beleidsdocumenten, er is een ISMS, er worden audits uitgevoerd. De technische basis staat bij de meeste organisaties redelijk.
Het probleem zit een verdieping hoger.
BIO2 vereist dat informatiebeveiliging aantoonbaar onderdeel is van de bestuurlijke sturing. Dat het bestuur weet welke risico’s er spelen, dat incidenten worden gerapporteerd en geëscaleerd en dat er een structuur is waarin continue verbetering niet afhankelijk is van de energie van één bevlogen medewerker.
In die bestuurslaag is de achterstand bij veel organisaties het grootst. Niet omdat bestuurders onwillig zijn, maar omdat informatiebeveiliging te lang is weggezet als iets voor de IT-afdeling. BIO2 trekt dat recht, maar dat vraagt voorbereiding.
Wat je nu kunt doen
Geen lijst met twaalf actiepunten. Wel drie eerlijke vragen om mee te beginnen:
-
Weet je bestuur wat de BIO2 van hen vraagt en niet alleen van de CISO?
-
Kun je vandaag aantonen hoe jullie risico’s worden gewogen en wie daarover beslist?
-
Is er een realistisch pad van waar je nu staat naar wat de wet straks vereist?
Als het antwoord op één van die vragen “eigenlijk niet” is, dan is dit het moment om dat te veranderen.
De Cbw is nog niet in werking. Maar de richting staat vast, de datum nadert en de eisen zijn helder. Wie dat als signaal gebruikt om nu serieus aan de slag te gaan, koopt zichzelf iets kostbaars: tijd om het goed te doen.
Wil je weten waar je organisatie moet beginnen? Op 18 juni van 12:00 tot 13:00 uur organiseren wij het webinar ‘De Cyberbeveiligingswet komt eraan, en nu?’. In één uur nemen we je mee in wat NIS2 en de Cyberbeveiligingswet concreet betekenen, hoe je BIO2.0 praktisch inzet en wat er verandert op het gebied van governance, bestuurdersverantwoordelijkheid en awareness.
Je loopt weg met heldere inzichten en eerste stappen die je direct kunt zetten. Schrijf je via deze link in.
