In de zomer werd het Nederlandse laboratorium Clinical Diagnostics getroffen door een grootschalige ransomware-aanval, waarbij persoonlijke en medische gegevens van mogelijk 850.000 mensen werden gestolen. Incidenten als deze laten zien hoe kwetsbaar zelfs kritieke organisaties zijn voor cyberdreigingen en waarom preventieve maatregelen onmisbaar zijn.
Juist in dit licht krijgt de NIS2-richtlijn extra urgentie. Strengere verplichtingen, betere risicobeheersing en scherpere meldplichten staan centraal in de Nederlandse implementatie via de Cyberbeveiligingswet (Cbw). In dit blog lees je de laatste ontwikkelingen met betrekking tot:
- de behandeling van de Cbw in de tweede kamer;
- de toevoeging van onderwijs als sector
- de internetconsultatie van de ministeriële regelingen;
- het Cybersecurity Control Framework; en
- wat organisaties nu kunnen doen om voorbereid te zijn.
Cyberbeveiligingswet: stand van zaken
De Cbw is begin deze zomer ingediend door de Minister van Justitie en Veiligheid. Via de Commissie Digitale Zaken is de wet momenteel in behandeling in de Tweede Kamer. Het debat over de Cbw moet nog plaatsvinden, maar de commissie heeft al meer dan 100 vragen aan de minister gesteld. Eén van de vragen ging bijvoorbeeld over de autoriteit voor de bestuurlijke handhaving van de wet en de keuze om deze decentraal te beleggen.
De minister gaf aan dat de vakministers de aangewezen autoriteiten zijn, maar dat verschillende toezichthouders, zoals de Rijksinspectie Digitale Infrastructuur (RDI), de Inspectie Gezondheidszorg en Jeugd (IGJ) en de Inspectie Leefomgeving en Transport (ILT), via ministeriële regelingen gemandateerd worden voor de uitvoering van de handhaving. Voor organisaties die in meerdere sectoren actief zijn, moeten afspraken worden gemaakt om de doeltreffendheid en doelmatigheid van toezicht te waarborgen. Daarnaast is besloten om alleen de minimumvereisten van NIS2 over te nemen, en niet te kiezen voor strengere eisen waar NIS2 ruimte voor biedt. Dit houdt voornamelijk in dat de lidstaten onderling een minimumharmonisatie zullen bereiken. Organisaties hoeven dus ook niet meer te doen dan de wet zegt.
De verwachting is dat de Cbw in het tweede kwartaal van 2026 in werking zal treden. Ondertussen is op 10 november 2025 de internetconsultatie gestart voor de verschillende ministeriële regelingen. Deze loopt tot 21 december 2025, en iedereen kan reageren op de inhoud van de regelingen.
Opvallend in deze regelingen is dat organisaties, om aan de zorgplicht te voldoen, afhankelijk van de sector moeten voldoen aan standaarden zoals ISO 27001:2023, NEN 7510:2024 of BIO2. Let echter op: om volledig compliant te zijn met NIS2/Cbw moeten organisaties daarnaast ook voldoen aan andere verplichtingen, zoals de registratieplicht, governance en meldplicht, want deze worden niet door de standaarden afgedekt. Verder worden in de regelingen ook nog de drempelwaardes voor een significant incident vermeld. We weten nu dus aan welke criteria er voldaan moet worden voordat je een melding moet maken.
Sectoruitbreiding: Onderwijs nu ook onder NIS2
Eerder maakte het Ministerie van Onderwijs al bekend dat het hoger onderwijs onder de Cbw gaat vallen. Een belangrijke reden hiervoor is de toenemende cyberdreigingen en het groeiend aantal aanvallen op het hoger onderwijs. De overheid probeert de cyberweerbaarheid van onderwijsinstellingen te vergroten door deze instellingen onder de toepassing van de Cbw te brengen.
Hbo- en wo-instellingen zullen door de Minister van Onderwijs worden aangewezen als essentiële of belangrijke entiteit vanaf het moment dat de Cbw in werking treedt. Gezien de impact van de implementatie van NIS2 op onderwijsinstellingen – in termen van tijd, middelen en budget – heeft de overheid besloten dat de zorgplicht en governance pas 36 maanden na inwerkingtreding van de Cbw van kracht worden. In deze periode zal er ook geen extern toezicht plaatsvinden in het kader van de Cbw. Hierdoor krijgt de sector meer tijd om zich zorgvuldig voor te bereiden en toe te werken naar het voldoen aan de zorgplicht. Organisaties krijgen dus de tijd om hun informatiebeveiliging op orde te brengen door de 10 maatregelen uit de zorgplicht te implementeren en de directie of bestuurders een training te laten volgen.
Let op: de registratieplicht en de meldplicht zijn wél direct van toepassing zodra een onderwijsinstelling is aangewezen als NIS2-entiteit. Het besluit om onderwijsinstellingen als essentieel of belangrijke entiteit aan te wijzen, zoals bedoeld in de Cbw, moet nog verder worden uitgewerkt.
Cybersecurity Control Framework
De laatste grote update over de NIS2 gaat over het Cybersecurity Control Framework (CCF). Deze is onlangs door de overheid gepubliceerd en is een raamwerk dat organisaties helpt om gestructureerd invulling te geven aan de eisen uit NIS2 en de Cbw. Het CCF bouwt voort op bestaande normen zoals ISO27001, NEN7510, de BIO2 en internationale best practices, en biedt daarmee een praktische vertaalslag naar concrete en toetsbare beveiligingsmaatregelen.
Wat daarbij opvalt, is dat Nederland ervoor heeft gekozen om een eigen framework te ontwikkelen, terwijl verschillende andere Europese landen, bijvoorbeeld België en Ierland, werken met de zogeheten Cyber Fundamentals: een gezamenlijk Europees initiatief om te komen tot een geharmoniseerde set basismaatregelen. Als Nederland daarbij had aangesloten, zou dat hebben bijgedragen aan meer Europese harmonisatie, een van de kernambities van NIS2. Voor organisaties die in meerdere EU-lidstaten opereren, zou dit bovendien tot een belangrijke administratieve lastenverlichting hebben betekend.
Door nu een nationaal raamwerk te introduceren, ontstaat het risico dat organisaties straks meerdere control frameworks naast elkaar moeten hanteren en verantwoorden, afhankelijk van de landen waarin zij actief zijn. Dit kan leiden tot dubbel werk en inconsistente interpretaties van vergelijkbare beveiligingsvereisten. Een aansluiting op de Cyber Fundamentals zou organisaties juist een uniforme, grensoverschrijdende aanpak hebben geboden om het cybertoezicht binnen de EU verder hebben kunnen stroomlijnen.
Hoewel het CCF organisaties zeker kan ondersteunen, past het dus in een bredere discussie over de vraag of nationale frameworks helpen of juist afbreuk doen aan de Europese ambitie om cybersecurity eisen te harmoniseren en vereenvoudigen.
Praktische stappen om voorbereid te zijn
Voor zover nu bekend zal er voor de governance en de zorgplicht geen implementatieperiode zijn, tenzij je onder de sector Onderwijs valt. Met andere woorden zodra de Cbw van kracht wordt, moeten organisaties voldoen aan de wet. Welke stappen zou je nu al kunnen nemen?
Twijfel je of jouw organisatie onder NIS2 valt?
- Laat ons de toepasselijkheid voor jouw organisatie toetsen, krijg snel duidelijkheid.
Weet je al of jouw organisatie een NIS2 entiteit is?
- Voer direct een GAP-analyse uit door bijvoorbeeld het gebruik van het Cybersecurity Control Framework, om te toetsen waar jouw organisatie staat met de implementatie van NIS2.
De meeste ministeriële regelingen stellen dat je aan de zorgplicht voldoet wanneer je kunt aantonen dat jouw organisatie voldoet aan de ISO27001:2023, NEN7510:2024 of BIO2. Voldoet jouw organisatie nog niet aan deze standaarden?
- Voer een GAP-analyse op één van deze standaarden uit (afhankelijk welke sector je zit).
Of voldoet jouw organisatie al aan deze standaarden, maar ben je niet gecertificeerd (ook niet verplicht).
- Laat dan bij ons een onafhankelijke audit uitvoeren zodat je kan aantonen dat je aantoonbaar voldoet aan één van deze standaarden.
Start vandaag, voorkom compliance-risico’s en versterk je cybersecurity!
Wil je jouw organisatie wapenen tegen de nieuwe verplichtingen van NIS2 en de Cyberbeveiligingswet? Mis dan ons gratis webinar op 15 januari 2026 om 12:00 uur niet! Onze experts leggen uit wat je nu moet weten, delen praktische stappen voor compliance en beantwoorden jouw vragen live. Schrijf je vandaag nog in en zet de eerste stap naar een weerbare en toekomstbestendige organisatie.
Inschrijven webinar
