FAQ

De kosten van een cybersecurityoplossing moeten altijd in verhouding staan tot het risico dat wordt beheerst. Geen enkele wet schrijft geen vaste bedragen of minimumbudgetten voor, maar eist dat organisaties passende en evenredige maatregelen nemen. Wat passend is, hangt af van:

1.

Bedrijfsgrootte en sector

• Grotere organisaties of organisaties in kritieke sectoren (zoals zorg, energie, transport) hebben doorgaans hogere eisen en dus hogere investeringen.
• Voor kleinere bedrijven kan een combinatie van basale maatregelen (patchmanagement, MFA, back-ups) al voldoende zijn.

2.

Risicoprofiel

• Wat zijn de gevolgen van een geslaagde aanval? Denk aan:

  • Financiële schade
  • Stilstand van processen
  • Reputatieschade
  • Juridische aansprakelijkheid
• Hoe hoger het risico, hoe hoger de investering mag — en zou moeten — zijn.

3.

Kosten-batenverhouding

• Een investering is verantwoord als deze meerwaarde biedt t.o.v. het risico dat wordt verminderd.
• Denk in scenario’s: wat kost het ons als dit risico zich voordoet, en hoeveel kost het om dat risico te beperken?

4.

Verantwoording en transparantie

• Als bestuur moet je kunnen uitleggen waarom je investeert (of niet investeert) in een bepaalde maatregel.
• Dit draagt bij aan je zorgplicht en het beperken van je bestuurlijke aansprakelijkheid.

Praktische vuistregels:

• Veel organisaties besteden tussen de 5% en 15% van hun IT-budget aan cybersecurity.
• Voor vitale infrastructuur of organisaties onder NIS2 kan dit oplopen tot 20% of meer.
• In de praktijk: liever een sobere, werkende oplossing met goed beleid, dan een dure tool zonder adoptie of bewustwording.

• Investeren in kennis van het bestuur - bijvoorbeeld door een workshop - is altijd een goed plan!

   

Conclusie:

Een cyberoplossing mag zoveel kosten als nodig is om een relevant risico afdoende te beheersen — niet meer, maar zeker ook niet minder. Het bestuur moet zorgen voor een risicogedreven en proportionele afweging, waarbij niet investeren óók een bestuurlijke keuze is waarvoor verantwoording nodig is. Investeren in kennis van het bestuur - bijvoorbeeld door een workshop - is altijd een goed plan.

De Cyber Resilience Act (CRA) van de EU draait om één kernpunt: digitale producten moeten veiliger worden – en dat moet aantoonbaar zijn, tijdens hun hele levensduur.

Fabrikanten van digitale producten zijn verantwoordelijk voor de cybersecurity van hun producten, vanaf ontwerp tot en met updates – en moeten dat kunnen aantonen. Deze wet gaat op 11 december 2027 in Europa in. De meldplicht is al geldig vanaf 11 september 2026.

1. Toepassing op alle ‘producten met digitale elementen’

   • Denk aan software, slimme apparaten, industriële systemen, medische apparaten, etc.
   • Dus ook laptops, routers, apps, IoT-devices, en embedded software.

    

2. Security by design & by default

   • Cybersecurity moet vanaf het eerste ontwerp zijn meegenomen, niet achteraf opgetuigd.
   • Standaardinstellingen mogen niet onveilig zijn.

    

3. Verplichtingen voor fabrikanten

   • Risicoanalyse uitvoeren
   • Kwetsbaarheden beheren en updaten
   • Incidenten binnen 24 uur melden aan ENISA (EU-agentschap)
   • Technische documentatie en conformiteitsbeoordeling bijhouden
   • CE-markering op basis van cybersecurity-conformiteit

    

4. Indeling in risicoklassen

   • Producten met hoger risico (zoals netwerkapparatuur of identiteitsbeheertools) vallen onder strengere eisen en controle.

    

5. Boetes bij niet-naleving

   • Tot €15 miljoen of 2,5% van wereldwijde jaaromzet.

    

Het doel van de CRA:

• Vertrouwen vergroten in digitale producten op de Europese markt.
• De interne markt versterken.
• Fabrikanten stimuleren om vooraf te investeren in cybersecurity – niet pas ná incidenten.

Wanneer gaat de CRA in?

De volledige naleving van de CRA is verplicht vanaf 11 december 2027. Dat geldt ook voor producten die voor die datum al in de markt waren maar na die datum met een update in de markt worden gezet.

De meldplicht van de CRA (Cyber Resilience Act) treedt in Nederland in werking op 11 september 2026. Op die datum zijn fabrikanten verplicht om gemelde kwetsbaarheden en incidenten in producten met digitale elementen aan te melden bij de Europese autoriteiten en het nationale CSIRT.

e rol van een CISO (Chief Information Security Officer) wordt steeds belangrijker — zeker in het licht van de NIS2-richtlijn. Hoe belangrijk een CISO is in jouw organisatie hangt af van de volgende factoren:

✅ 1.

Ben je een essentiële of belangrijke entiteit volgens NIS2?

Als je organisatie onder NIS2 valt (bijvoorbeeld in sectoren als energie, transport, zorg, digitale infrastructuur, financiële sector, etc.), dan is het hebben van een dedicated verantwoordelijke voor informatiebeveiliging cruciaal.

Hoewel NIS2 niet letterlijk eist dat je een CISO aanstelt, stelt het wel dat:

• Er sprake moet zijn van aantoonbare verantwoordelijkheid voor cybersecurity op strategisch niveau.
• Er passende organisatorische maatregelen moeten zijn.

Een CISO is een logisch en effectief antwoord op deze vereisten.

✅ 2.

Wat zijn de voordelen van een CISO?

Een CISO zorgt voor:

Verantwoordelijkheid                                                         Wat het oplevert

Strategisch beveiligingsbeleid                                          Duidelijke visie op cybersecurity

Risicomanagement                                                             Inzicht in kwetsbaarheden en prioriteiten

Compliance & audits                                                          Aantoonbare naleving van wetgeving (zoals NIS2, ISO 27001)

Incident response                                                              Snel en gestructureerd reageren op cyberaanvallen

Bewustwording                                                                  Training en beleid voor medewerkers

✅ 3.

Wanneer is een CISO aan te bevelen?

• Aanzienlijke afhankelijkheid van IT
• Je verwerkt veel gevoelige of vitale data
• Je hebt te maken met kritieke bedrijfscontinuïteit
• Je wilt voorbereid zijn op toezicht en audits
• Je streeft naar informatiebeveiliging als strategisch voordeel
• Je wil cyber delegeren naar een C-level professional die interdisciplinair kan opereren

✅ 4.

Alternatieven als je geen fulltime CISO kunt aanstellen

Voor kleinere organisaties:

• CISO-as-a-Service (extern ingehuurd, parttime)
• Security Officer of Functionaris Gegevensbescherming met verbrede taken
• Delegatie aan IT-manager (of CFO) met ondersteuning van externe experts

📌 Conclusie

Een CISO is niet wettelijk verplicht, maar in de praktijk is het een kritische succesfactor voor naleving van NIS2 en het beschermen van je organisatie. Denk aan een CISO als de regisseur van je cyberweerbaarheid.

Cybersecurity raakt inmiddels vrijwel alle strategische thema’s: continuïteit, reputatie, compliance, innovatie, en klantvertrouwen. Toch komt het onderwerp in veel bestuurskamers slechts incidenteel aan bod – vaak pas na een incident of auditbevinding.

Wat je hieruit kunt afleiden:

• Komt het structureel terug op de agenda? Dan is de kans groter dat het organisatiebreed is ingebed.
• Wordt het alleen besproken bij incidenten? Dan is het reactief, en ontbreekt regie.
• Is er een vaste verantwoordelijke die rapporteert? Dat zegt iets over governance en accountability.

Best practices:

• Minimaal één keer per kwartaal een cyber- of digitale weerbaarheidsupdate in het bestuur.
• Bij voorkeur twee keer per jaar op de RvC-agenda, met strategische diepgang (bv. scenario’s, investeringen, maturity).
• Integreer cyber in bredere thema’s zoals risicobeheer, innovatie of digitalisering.

De NIS-2 (Network and Information Security) richtlijn is op 17 oktober 2024 officieel van kracht geworden binnen de Europese Unie. Elk lidstaat - waaronder Nederland - moet deze richtlijn omzetten in nationale wetgeving. Nederland heeft deze richtlijn echter nog niet omgezet in nationale wetgeving. De verwachting is dat de Nederlandse implementatie, de Cyberbeveiligingswet, in het derde kwartaal van 2025 in werking treedt, maar er wordt ook al gesproken over 2026.

Totdat de Cyberbeveiligingswet van kracht wordt, zijn organisaties nog niet verplicht om aan de NIS2-vereisten te voldoen *in Nederland*. Wel hebben zij in sommige gevallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT) .  

Let op:

• Het kan het voorkomen dat je bijvoorbeeld levert aan een bedrijf in België, waar de wet al wel is ingevoerd. Het kan dan voorkomen dat je aantoonbaar maatregelen genomen moet hebben om aan je Belgische klant aan te tonen dat je voldoende veilig bent.
• Organisaties die momenteel al onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen - de Nederlandse wet die onder de NIS-1 is geïmplementeerd - blijven gebonden aan de verplichtingen van die wet totdat de Cyberbeveiligingswet in werking treedt . 

De Rijksoverheid adviseert organisaties om zich nu al voor te bereiden op de aankomende wetgeving. Er zijn diverse hulpmiddelen beschikbaar, - zoals bijvoorbeeld https://regelhulpenvoorbedrijven.nl/NIS-2-NL/ - , waarmee organisaties kunnen beoordelen of zij onder de NIS2-richtlijn vallen en hoe zij zich kunnen voorbereiden op de nieuwe verplichtingen. Let goed op dat organisaties die beweren dat je al "NIS-2 compliant" kunt worden dat doen zonder dat de Nederlandse wet is gepubliceerd.

De Wet weerbaarheid kritieke entiteiten (Wwke) is de Nederlandse implementatie van de Europese CER-richtlijn(Critical Entities Resilience). Deze wet is het niet-digitale broertje van de NIS2-richtlijn, en richt zich op fysieke weerbaarheid van organisaties die van vitaal belang zijn voor de samenleving.

Organisaties die cruciale diensten leveren moeten fysieke risico’s (zoals sabotage, spionage, of terrorisme) beter beheersen, om continuïteit te waarborgen.

1. Richt zich op fysieke weerbaarheid, niet op cyber (dat valt onder NIS2)

   • Denk aan sabotage van infrastructuur, verstoringen door natuurrampen, of kwaadwillende insiders.

2. Geldt voor ‘kritieke entiteiten’ in essentiële sectoren, zoals:

   • Energie, vervoer, drinkwater, gezondheidszorg
   • Digitale infrastructuur (fysieke kant), overheid, ruimtevaart
   • En partijen die belangrijke diensten leveren aan deze sectoren

3. Verplichtingen voor organisaties:

   • Doe een risicoanalyse voor fysieke dreigingen
   • Neem passende beveiligingsmaatregelen
   • Meld ernstige verstoringen aan de bevoegde autoriteit
   • Zorg dat de organisatie ook voorbereid is op grensoverschrijdende dreigingen (zoals hybride aanvallen)

4. Toezicht en aanwijzingen

   • Een nationale autoriteit (in NL: waarschijnlijk NCTV) houdt toezicht
   • Er kunnen maatregelen, sancties of aanwijzingen volgen bij gebrekkige weerbaarheid

• Cyber? → valt onder de NIS2 / Cyberweerbaarheidswet (zoals deze in Nederland heet)
• Fysiek? → valt onder de CER / Wet weerbaarheid kritieke entiteiten (zoals deze in Nederland heet).
• Voor veel organisaties geldt beide wetgeving tegelijk en vragen om een geïntegreerde aanpak van weerbaarheid.

De NIS-2 is een Europese richtlijn die momenteel wordt doorvertaald naar de cyberweerbaarheidswet voor Nederland. Moet je voloden aan die wet? De overheid heeft een regelhulp geïntroduceerd: 

https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Je kunt momenteel niet volledig compliant zijn op de NIS2-richtlijn in Nederland, omdat:

1.

De nationale wet nog niet van kracht is

Hoewel de NIS2-richtlijn op 17 oktober 2024 in werking is getreden op EU-niveau, heeft Nederland deze nog niet omgezet in nationale wetgeving. De verwachte ingangsdatum van de Nederlandse Cyberbeveiligingswet is derde kwartaal 2025, terwijl er ook al over 2026 wordt gesproken.

Zonder nationale wet:

• Zijn de exacte verplichtingen en procedures nog niet juridisch afdwingbaar.
• Kun je dus niet voldoen aan eisen die nog niet wettelijk zijn vastgelegd.

2.

De wet gaat uit van een open norm.  
Geen duidelijk wettelijk kader = geen formele compliance

Compliance betekent: aantoonbaar voldoen aan geldende wet- en regelgeving. Zolang de wet er nog niet is, bestaat er juridisch geen toetsingskader. Je kunt dus nog niet officieel “compliant” zijn. Daarnaast gaat Nederland - in tegenstelling tot een aantal anderen uit van een open norm. Dat betekend dat er geen strikte eisen worden gesteld maar een algemene verplichting die organisaties zelf moeten invullen. 

De start hiervoor is een risico-analyse van de eigen situatie waarbij je passende maatregelen definieert.

3.

Wat je wél kunt doen

Je kunt je voorbereiden op compliance. Denk aan:

• Workshops volgen om je kennis te vergroten
• Risicoanalyses uitvoeren.
• Beveiligingsmaatregelen verbeteren volgens de verwachte eisen.
• Inventariseren of je onder de richtlijn valt (essentiële of belangrijke entiteit).
•  

Dit heet vaak “voorbereid zijn op compliance” of “alignment met NIS2”, maar het is nog geen formele naleving.

De NIS-2 heet de Cyberweerbaarheidswet

Enkele betrouwbare bronnen zijn:

• Sans https://www.sans.org/information-security-policy/?category=identity-access
  Iets doorscrollen naar beneden en je kunt selecteren welke categorie templates je wilt ontvangen downloaden. In .doc en .pdf beschikbaar. Engelstalig.
   
• de Belgische overheid via: 
  https://atwork.safeonweb.be/tools-resources/policy-templates
  Engelstalig
   
• De Nederlandse overheid heeft veelal een 'howto'. Bijvoorbeeld hoe tot een business continuity plan te komen: 
  https://www.digitaltrustcenter.nl/nis2/hoe-maak-je-een-bedrijfscontinuiteitsplan
   
• vraag ChatGPT. Zeer volledig en creatief. Wel alle onderdelen nalopen.