FAQ

De kosten van een cybersecurityoplossing moeten altijd in verhouding staan tot het risico dat wordt beheerst. Geen enkele wet schrijft geen vaste bedragen of minimumbudgetten voor, maar eist dat organisaties passende en evenredige maatregelen nemen. Wat passend is, hangt af van:

1.

Bedrijfsgrootte en sector

• Grotere organisaties of organisaties in kritieke sectoren (zoals zorg, energie, transport) hebben doorgaans hogere eisen en dus hogere investeringen.
• Voor kleinere bedrijven kan een combinatie van basale maatregelen (patchmanagement, MFA, back-ups) al voldoende zijn.

2.

Risicoprofiel

• Wat zijn de gevolgen van een geslaagde aanval? Denk aan:

  • Financiële schade
  • Stilstand van processen
  • Reputatieschade
  • Juridische aansprakelijkheid
• Hoe hoger het risico, hoe hoger de investering mag — en zou moeten — zijn.

3.

Kosten-batenverhouding

• Een investering is verantwoord als deze meerwaarde biedt t.o.v. het risico dat wordt verminderd.
• Denk in scenario’s: wat kost het ons als dit risico zich voordoet, en hoeveel kost het om dat risico te beperken?

4.

Verantwoording en transparantie

• Als bestuur moet je kunnen uitleggen waarom je investeert (of niet investeert) in een bepaalde maatregel.
• Dit draagt bij aan je zorgplicht en het beperken van je bestuurlijke aansprakelijkheid.

Praktische vuistregels:

• Veel organisaties besteden tussen de 5% en 15% van hun IT-budget aan cybersecurity.
• Voor vitale infrastructuur of organisaties onder NIS2 kan dit oplopen tot 20% of meer.
• In de praktijk: liever een sobere, werkende oplossing met goed beleid, dan een dure tool zonder adoptie of bewustwording.

• Investeren in kennis van het bestuur - bijvoorbeeld door een workshop - is altijd een goed plan!

   

Conclusie:

Een cyberoplossing mag zoveel kosten als nodig is om een relevant risico afdoende te beheersen — niet meer, maar zeker ook niet minder. Het bestuur moet zorgen voor een risicogedreven en proportionele afweging, waarbij niet investeren óók een bestuurlijke keuze is waarvoor verantwoording nodig is. Investeren in kennis van het bestuur - bijvoorbeeld door een workshop - is altijd een goed plan.

waarom en hoe je je ICT-leveranciers moet blijven bevragen

In het cyberweerbaarheidscentrum krijgen we regelmatig vragen van ondernemers. Zo ook deze keer. Een specifieke ondernemer wilde weten of hij zijn ICT leverancier wel voldoende kon vertrouwen. 

Hij was flink gegroeid de afgelopen jaren. 

We snapten de vraag wel. Wanneer een organisatie groeit, verandert er meer dan alleen de omzet, omvang van het personeelsbestand of het aantal klanten. De afhankelijkheid van digitale systemen, data en samenwerkingstools groeit mee. En daarmee ook het belang van betrouwbare, veilige en toekomstgerichte ICT-dienstverlening. 

Maar hoe weet je of je ICT-leverancier met je meegroeit? En belangrijker: hoe zorg je ervoor dat je als organisatie daadwerkelijk cyberweerbaar blijft?

De ICT-leverancier als partner — maar niet blindelings

Veel organisaties die klein zijn begonnen, beginnen hun digitale reis met een lokale of regionale ICT-partner. Die helpt bij de basis: werkplekken
inrichten, e-mail beveiligen, een back-up regelen. Prima voor de beginfase. Je kunt uit met het implementeren van de cyber-basisprincipes. 

Maar zodra je groeit – qua omvang, risico, of ketenverantwoordelijkheid – ontstaat er behoefte aan méér. 

Denk aan: - Monitoring en incidentdetectie  
- Geavanceerde toegangsbeveiliging (MFA, zero trust) 
- Versleutelde communicatie  
- Naleving van wetgeving (zoals NIS2, CRA of AVG) - Voorbereiding op audits of certificering (ISO27001, BIO).

Toch blijft de ICT-leverancier vaak hetzelfde. En dat is niet zonder risico.

Drie groeimomenten waarop je je ICT-leverancier kritisch moet bevragen


1. Je organisatie gaat samenwerken met grotere ketenpartners 
   Wordt er van je verwacht dat je bepaalde beveiligingsmaatregelen hebt? Zijn er contractuele eisen over databeveiliging? 
Dan moet je ICT-partner meebewegen — niet achterover leunen.
2. Je ziet een toename in digitale afhankelijkheid
   Denk aan hybride werken, cloudapplicaties of klantportalen. Hoe wordt beschikbaarheid en beveiliging geregeld? Een eenvoudige back-up is dan niet meer genoeg.
3. Je wilt strategischer omgaan met risico’s en compliance.
   Als je als organisatie werkt aan certificeringen of aan de voorbereiding op wetgeving zoals NIS2, dan moet je ICT-leverancier dit niet alleen begrijpen, maar er ook proactief op inspelen.
   En het helpt als je ICT leverancier weet welke standaarden wél en welke niét onafhankelijk getoetst en daarmee geaccepteerd worden. 

Van leverancier naar sparringpartner


De vraag is dan: is je ICT-leverancier alleen een uitvoerder? Of ook een adviseur en sparringpartner?

Als je ICT leveranciers alleen een uitvoerder is - en je twijfelt over hun kwaliteit – werkt hetCCV (www.hetccv.nl) momenteel aan een oplossing: certificering voor ICT dienstenleveranciers die MKB bedienen. 

Groeiende organisaties 
hebben behoefte aan sparring partners, leveranciers die:

- Risico’s signaleren voordat ze zich voordoen  


- Helpen bij het opstellen van een roadmap naar cyberweerbaarheid  


- Niet alleen de IT beheren, maar ook meedenken op strategisch niveau

Laat je leverancier bijvoorbeeld uitleggen:

- Wat hun eigen beveiligingsstandaard is  


- Hoe ze omgaan met kwetsbaarheden en updates  


- Of ze bekend zijn met de risico’s in jouw branche  


- Hoe ze je helpen voldoen aan wettelijke eisen

- Hoe ze bijblijven bij de snelheid van de ontwikkelingen
(tip: sluit je aan bij een cyberweerbaarheidscentrum).

Uiteindelijk draait het om je eigen situatie.
cJe kunt veel uitbesteden, maar cyberweerbaarheid is een verantwoordelijkheid die je nooit volledig extern kunt neerleggen.

Een sterke ICT-partner helpt je vooruit — maar het is aan jou als organisatie om kritische vragen te blijven
stellen, de regie te houden .

Hoe hou je de regie?

Groei vraagt niet alleen om meer capaciteit, maar om méér volwassenheid. En dat geldt net zo goed voor je ICT-partner als voor je eigen organisatie. De sleutel voor het houden van de regie ligt bij jezelf. 

En de manier is middels een methodische “risico-inventarisatie”. Als je zelf je eigen risico’s kunt inschatten – en dan ook wat je acceptabel vindt en wat niet, dan ben je ook in staat om aansturing te geven. Aan zowel je eigen organisatie als aan een externe.

Bij het cyberweerbaarheidscentrum kunnen we je helpen om een risico inventarisatie te vinden die bij je past.

The Next Step: verschil tussen ICT en cyber

Voor de wat grotere bedrijven is het verstandig om ICT en cyber apart te beleggen. ICT-dienstverlening is gericht op snelheid, gebruiksgemak en beschikbaarheid. Cybersecurity vraagt om controle, borging en soms vertraging. Die rollen zijn niet goed te combineren in één (externe) partij, als je zelf de regie wilt houden.

Meer informatie? Of heb je een hulpvraag? Bijvoorbeeld over toetsbare standaarden of risico inventarisatie? Neem contact op met het cyberweerbaarheidscentrum Oost Nederland, Jitse Beuker j.beuker@cvdnederland.nl en/of Evelien Bras e.bras@thecyberpartners.com. Wil je op de hoogte blijven? We voegen je desgewenst toe aan de community van het digital trust center.

De Cyber Resilience Act (CRA) van de EU draait om één kernpunt: digitale producten moeten veiliger worden – en dat moet aantoonbaar zijn, tijdens hun hele levensduur.

Fabrikanten van digitale producten zijn verantwoordelijk voor de cybersecurity van hun producten, vanaf ontwerp tot en met updates – en moeten dat kunnen aantonen. Deze wet gaat op 11 december 2027 in Europa in. De meldplicht is al geldig vanaf 11 september 2026.

1. Toepassing op alle ‘producten met digitale elementen’

   • Denk aan software, slimme apparaten, industriële systemen, medische apparaten, etc.
   • Dus ook laptops, routers, apps, IoT-devices, en embedded software.

    

2. Security by design & by default

   • Cybersecurity moet vanaf het eerste ontwerp zijn meegenomen, niet achteraf opgetuigd.
   • Standaardinstellingen mogen niet onveilig zijn.

    

3. Verplichtingen voor fabrikanten

   • Risicoanalyse uitvoeren
   • Kwetsbaarheden beheren en updaten
   • Incidenten binnen 24 uur melden aan ENISA (EU-agentschap)
   • Technische documentatie en conformiteitsbeoordeling bijhouden
   • CE-markering op basis van cybersecurity-conformiteit

    

4. Indeling in risicoklassen

   • Producten met hoger risico (zoals netwerkapparatuur of identiteitsbeheertools) vallen onder strengere eisen en controle.

    

5. Boetes bij niet-naleving

   • Tot €15 miljoen of 2,5% van wereldwijde jaaromzet.

    

Het doel van de CRA:

• Vertrouwen vergroten in digitale producten op de Europese markt.
• De interne markt versterken.
• Fabrikanten stimuleren om vooraf te investeren in cybersecurity – niet pas ná incidenten.

Wanneer gaat de CRA in?

De volledige naleving van de CRA is verplicht vanaf 11 december 2027. Dat geldt ook voor producten die voor die datum al in de markt waren maar na die datum met een update in de markt worden gezet.

De meldplicht van de CRA (Cyber Resilience Act) treedt in Nederland in werking op 11 september 2026. Op die datum zijn fabrikanten verplicht om gemelde kwetsbaarheden en incidenten in producten met digitale elementen aan te melden bij de Europese autoriteiten en het nationale CSIRT.

e rol van een CISO (Chief Information Security Officer) wordt steeds belangrijker — zeker in het licht van de NIS2-richtlijn. Hoe belangrijk een CISO is in jouw organisatie hangt af van de volgende factoren:

✅ 1.

Ben je een essentiële of belangrijke entiteit volgens NIS2?

Als je organisatie onder NIS2 valt (bijvoorbeeld in sectoren als energie, transport, zorg, digitale infrastructuur, financiële sector, etc.), dan is het hebben van een dedicated verantwoordelijke voor informatiebeveiliging cruciaal.

Hoewel NIS2 niet letterlijk eist dat je een CISO aanstelt, stelt het wel dat:

• Er sprake moet zijn van aantoonbare verantwoordelijkheid voor cybersecurity op strategisch niveau.
• Er passende organisatorische maatregelen moeten zijn.

Een CISO is een logisch en effectief antwoord op deze vereisten.

✅ 2.

Wat zijn de voordelen van een CISO?

Een CISO zorgt voor:

Verantwoordelijkheid                                                         Wat het oplevert

Strategisch beveiligingsbeleid                                          Duidelijke visie op cybersecurity

Risicomanagement                                                             Inzicht in kwetsbaarheden en prioriteiten

Compliance & audits                                                          Aantoonbare naleving van wetgeving (zoals NIS2, ISO 27001)

Incident response                                                              Snel en gestructureerd reageren op cyberaanvallen

Bewustwording                                                                  Training en beleid voor medewerkers

✅ 3.

Wanneer is een CISO aan te bevelen?

• Aanzienlijke afhankelijkheid van IT
• Je verwerkt veel gevoelige of vitale data
• Je hebt te maken met kritieke bedrijfscontinuïteit
• Je wilt voorbereid zijn op toezicht en audits
• Je streeft naar informatiebeveiliging als strategisch voordeel
• Je wil cyber delegeren naar een C-level professional die interdisciplinair kan opereren

✅ 4.

Alternatieven als je geen fulltime CISO kunt aanstellen

Voor kleinere organisaties:

• CISO-as-a-Service (extern ingehuurd, parttime)
• Security Officer of Functionaris Gegevensbescherming met verbrede taken
• Delegatie aan IT-manager (of CFO) met ondersteuning van externe experts

📌 Conclusie

Een CISO is niet wettelijk verplicht, maar in de praktijk is het een kritische succesfactor voor naleving van NIS2 en het beschermen van je organisatie. Denk aan een CISO als de regisseur van je cyberweerbaarheid.

Cybersecurity raakt inmiddels vrijwel alle strategische thema’s: continuïteit, reputatie, compliance, innovatie, en klantvertrouwen. Toch komt het onderwerp in veel bestuurskamers slechts incidenteel aan bod – vaak pas na een incident of auditbevinding.

Wat je hieruit kunt afleiden:

• Komt het structureel terug op de agenda? Dan is de kans groter dat het organisatiebreed is ingebed.
• Wordt het alleen besproken bij incidenten? Dan is het reactief, en ontbreekt regie.
• Is er een vaste verantwoordelijke die rapporteert? Dat zegt iets over governance en accountability.

Best practices:

• Minimaal één keer per kwartaal een cyber- of digitale weerbaarheidsupdate in het bestuur.
• Bij voorkeur twee keer per jaar op de RvC-agenda, met strategische diepgang (bv. scenario’s, investeringen, maturity).
• Integreer cyber in bredere thema’s zoals risicobeheer, innovatie of digitalisering.

De NIS-2 (Network and Information Security) richtlijn is op 17 oktober 2024 officieel van kracht geworden binnen de Europese Unie. Elk lidstaat - waaronder Nederland - moet deze richtlijn omzetten in nationale wetgeving. Nederland heeft deze richtlijn echter nog niet omgezet in nationale wetgeving. De verwachting is dat de Nederlandse implementatie, de Cyberbeveiligingswet, in het derde kwartaal van 2025 in werking treedt, maar er wordt ook al gesproken over 2026.

Totdat de Cyberbeveiligingswet van kracht wordt, zijn organisaties nog niet verplicht om aan de NIS2-vereisten te voldoen *in Nederland*. Wel hebben zij in sommige gevallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT) .  

Let op:

• Het kan het voorkomen dat je bijvoorbeeld levert aan een bedrijf in België, waar de wet al wel is ingevoerd. Het kan dan voorkomen dat je aantoonbaar maatregelen genomen moet hebben om aan je Belgische klant aan te tonen dat je voldoende veilig bent.
• Organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen - de Nederlandse wet die onder de NIS-1 is geïmplementeerd - blijven gebonden aan de verplichtingen van die wet totdat de Cyberbeveiligingswet in werking treedt . 

De Rijksoverheid adviseert organisaties om zich nu al voor te bereiden op de aankomende wetgeving. Er zijn diverse hulpmiddelen beschikbaar, - zoals bijvoorbeeld https://regelhulpenvoorbedrijven.nl/NIS-2-NL/ - , waarmee organisaties kunnen beoordelen of zij onder de NIS2-richtlijn vallen en hoe zij zich kunnen voorbereiden op de nieuwe verplichtingen. Let goed op dat organisaties die beweren dat je al "NIS-2 compliant" kunt worden dat doen zonder dat de Nederlandse wet is gepubliceerd.

De Wet weerbaarheid kritieke entiteiten (Wwke) is de Nederlandse implementatie van de Europese CER-richtlijn(Critical Entities Resilience). Deze wet is het niet-digitale broertje van de NIS2-richtlijn, en richt zich op fysieke weerbaarheid van organisaties die van vitaal belang zijn voor de samenleving.

Organisaties die cruciale diensten leveren moeten fysieke risico’s (zoals sabotage, spionage, of terrorisme) beter beheersen, om continuïteit te waarborgen.

1. Richt zich op fysieke weerbaarheid, niet op cyber (dat valt onder NIS2)

   • Denk aan sabotage van infrastructuur, verstoringen door natuurrampen, of kwaadwillende insiders.

2. Geldt voor ‘kritieke entiteiten’ in essentiële sectoren, zoals:

   • Energie, vervoer, drinkwater, gezondheidszorg
   • Digitale infrastructuur (fysieke kant), overheid, ruimtevaart
   • En partijen die belangrijke diensten leveren aan deze sectoren

3. Verplichtingen voor organisaties:

   • Doe een risicoanalyse voor fysieke dreigingen
   • Neem passende beveiligingsmaatregelen
   • Meld ernstige verstoringen aan de bevoegde autoriteit
   • Zorg dat de organisatie ook voorbereid is op grensoverschrijdende dreigingen (zoals hybride aanvallen)

4. Toezicht en aanwijzingen

   • Een nationale autoriteit (in NL: waarschijnlijk NCTV) houdt toezicht
   • Er kunnen maatregelen, sancties of aanwijzingen volgen bij gebrekkige weerbaarheid

• Cyber? → valt onder de NIS2 / Cyberweerbaarheidswet (zoals deze in Nederland heet)
• Fysiek? → valt onder de CER / Wet weerbaarheid kritieke entiteiten (zoals deze in Nederland heet).
• Voor veel organisaties geldt beide wetgeving tegelijk en vragen om een geïntegreerde aanpak van weerbaarheid.

De NIS-2 is een Europese richtlijn die momenteel wordt doorvertaald naar de cyberweerbaarheidswet voor Nederland. Moet je voloden aan die wet? De overheid heeft een regelhulp geïntroduceerd: 

https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Je kunt momenteel niet volledig compliant zijn op de NIS2-richtlijn in Nederland, omdat:

1.

De nationale wet nog niet van kracht is

Hoewel de NIS2-richtlijn op 17 oktober 2024 in werking is getreden op EU-niveau, heeft Nederland deze nog niet omgezet in nationale wetgeving. De verwachte ingangsdatum van de Nederlandse Cyberbeveiligingswet is derde kwartaal 2025, terwijl er ook al over 2026 wordt gesproken.

Zonder nationale wet:

• Zijn de exacte verplichtingen en procedures nog niet juridisch afdwingbaar.
• Kun je dus niet voldoen aan eisen die nog niet wettelijk zijn vastgelegd.

2.

De wet gaat uit van een open norm.  
Geen duidelijk wettelijk kader = geen formele compliance

Compliance betekent: aantoonbaar voldoen aan geldende wet- en regelgeving. Zolang de wet er nog niet is, bestaat er juridisch geen toetsingskader. Je kunt dus nog niet officieel “compliant” zijn. Daarnaast gaat Nederland - in tegenstelling tot een aantal anderen uit van een open norm. Dat betekend dat er geen strikte eisen worden gesteld maar een algemene verplichting die organisaties zelf moeten invullen. 

De start hiervoor is een risico-analyse van de eigen situatie waarbij je passende maatregelen definieert.

3.

Wat je wél kunt doen

Je kunt je voorbereiden op compliance. Denk aan:

• Workshops volgen om je kennis te vergroten
• Risicoanalyses uitvoeren.
• Beveiligingsmaatregelen verbeteren volgens de verwachte eisen.
• Inventariseren of je onder de richtlijn valt (essentiële of belangrijke entiteit).
•  

Dit heet vaak “voorbereid zijn op compliance” of “alignment met NIS2”, maar het is nog geen formele naleving.

De NIS-2 heet de Cyberweerbaarheidswet

We hebben vanuit "The Cyber Partners" voor MKB een template informatiebeveiligingsbeleid samengesteld:

https://www.thecyberpartners.com/sites/default/files/2026-05/20260528%20TCP%20Brasholt%20informatiebeveiligingsbeleid.pdf

Gebruik deze gerust. Op- of aanmerkingen of vragen kun je stellen aan: contact@thecyberpartners.com

Enkele andere betrouwbare bronnen zijn:

• Sans https://www.sans.org/information-security-policy/?category=identity-access
  Iets doorscrollen naar beneden en je kunt selecteren welke categorie templates je wilt ontvangen downloaden. In .doc en .pdf beschikbaar. Engelstalig.
   
• de Belgische overheid via: 
  https://atwork.safeonweb.be/tools-resources/policy-templates
  Engelstalig
   
• De Nederlandse overheid heeft veelal een 'howto'. Bijvoorbeeld hoe tot een business continuity plan te komen: 
  https://www.digitaltrustcenter.nl/nis2/hoe-maak-je-een-bedrijfscontinuiteitsplan
   
• vraag ChatGPT. Zeer volledig en creatief. Wel alle onderdelen nalopen.

Het begeleiden van MKB-organisaties bij het verhogen van hun cyberweerbaarheid kent een aantal specifieke uitdagingen. 

Ten eerste beschikken veel MKB-bedrijven over beperkte middelen — zowel financieel als qua personeel — waardoor het lastig is om structureel tijd en budget vrij te maken voor informatiebeveiliging.

 Daarnaast ontbreekt er vaak interne kennis en bewustwording: cybersecurity wordt nog te vaak gezien als een IT-probleem in plaats van een bedrijfsbreed vraagstuk. De veelheid aan normen en kaders, zoals ISO 27001 en NIS-2, kan overweldigend overkomen, waardoor organisaties niet weten waar ze moeten beginnen. 

Ook is de urgentie bij het management niet altijd even voelbaar totdat er daadwerkelijk een incident plaatsvindt. 

Ten slotte vraagt begeleiding in de keten om afstemming tussen meerdere disciplines — inkoop, legal en de CISO — wat binnen kleinere organisaties zelden gestructureerd is ingericht. 

Dit maakt het begeleidingstraject arbeidsintensief en vraagt om een pragmatische, stapsgewijze aanpak die aansluit bij de schaal en volwassenheid van de organisatie. Vanuit ervaring is er vanuit "The Cyber Partners" - met partners - een 'train the trainer' opgesteld, waar  de meest veelvoorkomende vraagstukken en ervaringen in gedeeld worden. Ook met een praktisch voorbeeld voor een informatiebeveiligingsplan. Hier te downloaden. 

https://www.thecyberpartners.com/sites/default/files/2026-05/20260528%20TCP_Train_The_Trainer.pdf

https://www.thecyberpartners.com/sites/default/files/2026-05/20260528%20TCP%20Brasholt%20informatiebeveiligingsbeleid.pdf

Wil je meer weten en een cursus in het begeleiden van MKB aanvragen? Neem gerust contact op.

De NIS-2/CWB, DORA, ABRO, er zijn wetten en contracten in overvloed waarin ge-eist wordt dat je als organisatie je keten beheersbaar houdt. Maar hoe doe je dat op een kosteneffectieve manier? 
 

Hier zijn drie stappen belangrijk:

1.  bepaal het wensniveau per leverancier/partner aan de hand van een methode naar keuze (Kraljic-matrix, puntenscore op basis van integriteit/vertrouwelijkheid/beschikbaarheid, of classificatie van gedeelde informatie) 
2. leg het wensniveau vast via inkoopcontracten of algemene voorwaarden, met aandacht voor scope, locatie, aansprakelijkheid en meetbare KPI's;
3. informeer toeleveranciers over waar zij hulp kunnen krijgen (bijvoorbeeld samenwerkingsverbanden of cyberweerbaarheidscentra).
    

Op deze manier hoef je alleen het resultaat te toetsen en niet de inhoudelijke response van alle leveranciers. Voor de wat grotere leveranciers verwijs je naar internationale standaarden (ISO/NEN/IEC) en voor de kleinere, die je niet te zwaar wilt belasten is CYRA een goede optie. Zie ook onderstaand begeleidingsdocument.

https://www.thecyberpartners.com/sites/default/files/2026-06/20260510%2…

Meer weten hoe je grip en compliancy effectief kunt inrichten? Vragen of opmerkingen over bovenstaand document? Neem vrijblijvend contact op via contact@thecyberpartners.com