De Cyberbeveiligingswet is aangenomen door de Tweede Kamer en ligt nu ter goedkeuring bij de Eerste Kamer. De verwachting is dat de wet per 1 juli 2026 in werking treedt, waardoor organisaties nog beperkt tijd hebben om zich voor te bereiden.
© Blurf | Dreamstime
Met de invoering van de wet, gebaseerd op de NIS2-richtlijn, verschuift de verantwoordelijkheid nadrukkelijk naar het bestuur. Uitstel is volgens de huidige stand van zaken geen realistische optie meer. Organisaties die onder de wet vallen, moeten aantoonbaar maatregelen treffen op het gebied van risicobeheer, incidentmelding en leveranciersbeveiliging.
Ook bedrijven die indirect betrokken zijn, bijvoorbeeld als leverancier van grotere organisaties, krijgen te maken met strengere eisen. Aantoonbare cybersecurity, zoals via supply chain-certificering, wordt steeds vaker een voorwaarde voor samenwerking.
De wet introduceert daarnaast een duidelijke vorm van bestuurdersaansprakelijkheid. Bestuurders zijn verantwoordelijk voor goedkeuring, toezicht en naleving van cybersecuritymaatregelen en kunnen bij nalatigheid worden aangesproken. Daarmee wordt cybersecurity een integraal onderdeel van governance.
Binnen veel organisaties ligt de focus nog primair bij IT, terwijl de wet juist vraagt om een bredere aanpak. Samenwerking tussen directie, IT, inkoop en HR wordt essentieel om risico's effectief te beheersen en aantoonbaar 'in control' te zijn.
Bestuurders dienen onder meer een verplichte NIS2-opleiding te volgen (uiterlijk 1 juli 2028), duidelijke kaders vast te stellen en verantwoordelijkheden binnen de organisatie te beleggen. Daarnaast moeten keuzes en risicoafwegingen worden vastgelegd en leveranciersrisico's actief worden gemanaged.
Met de naderende invoeringsdatum groeit de urgentie. Tijdige actie is noodzakelijk om risico's te beperken, aansprakelijkheid te voorkomen en het vertrouwen van klanten en partners te behouden.
Meer informatie:
ABN AMRO
www.abnamro.nl
