Home Home
Logo Cyberbeveiligingswet 2026
Checklist CBW2026 zorgplicht en controlepunten
Praktische zelfcheck met bewijs tips

Voldoet u al aan de CBW2026 beveiligingseisen

Van risicoanalyse tot incidentbeheer en leverancierscontrole. Deze checklist is opgebouwd rond de tien zorgplichtmaatregelen en helpt u direct zien wat ontbreekt, wat u als bewijs kunt verzamelen en welke onderdelen vaak worden vergeten.

Start met de checklist Meldplicht voorbereiding

Checklist op basis van de tien zorgplichtmaatregelen

Deze secties volgen de tien verplichte zorgplichtmaatregelen die in publieke uitleg worden gebruikt. Per onderdeel ziet u een set concrete controlepunten en voorbeelden van bewijs dat vaak wordt gevraagd tijdens interne checks en externe vragen.

1 Risicoanalyse

Open

U heeft een actuele risicoanalyse nodig die laat zien welke risico’s het zwaarst wegen en waar maatregelen het hardst nodig zijn.

Risicoanalyse is actueel en herhaalbaar

Er is een vaste methode, een eigenaar en een ritme. U werkt met scope, assets, dreigingen, kwetsbaarheden, impact en maatregelen.

Bewijs voorbeelden
  • Risico register met datum, scope en goedkeuring
  • Top risico’s met besluit en prioriteit
  • Link tussen risico’s en maatregelen

Scope en kroonjuwelen zijn benoemd

U weet welke processen, systemen en data cruciaal zijn. Inclusief afhankelijkheden zoals cloud, netwerk, identiteiten en leveranciers.

Risico acceptatie is formeel geregeld

Afwijkingen zijn gemotiveerd, tijdgebonden en hebben een eigenaar. Er is management betrokken bij de risicokeuzes.

2 Personeel toegang en assetbeheer

Open

U moet weten wie toegang heeft tot welke informatie en systemen. Dit is vaak de eerste verdedigingslinie.

Asset inventaris is compleet

U heeft zicht op servers, laptops, mobiles, cloud resources, applicaties, identiteiten en kritieke koppelingen.

Toegangsbeheer is role based en wordt periodiek herzien

Least privilege, joiner mover leaver, periodieke recertificatie, en logging van privileged accounts.

Bewijs voorbeelden
  • Toegangsbeleid en rollenmatrix
  • Overzicht recertificatie en acties
  • Privileged access procedure

Awareness en onboarding zijn ingericht

Medewerkers weten wat phishing is, hoe te melden, en wat hun rol is bij incidenten en data bescherming.

3 Bedrijfscontinuiteit

Open

Uitval van primaire processen is vaak onacceptabel. U heeft een bedrijfscontinuiteitsplan nodig inclusief herstel.

BCP bestaat en sluit aan op kritieke processen

RTO en RPO zijn vastgelegd, inclusief scenario’s zoals ransomware, cloud outage en telecom uitval.

Backups en herstel zijn getest

U kunt aantonen dat herstel werkt, inclusief testresultaten en verbeteracties.

Bewijs voorbeelden
  • Hersteltest rapporten en logboeken
  • Backup beleid met retentie en isolatie
  • Overzicht kritieke systemen met RTO en RPO

Crisis organisatie is ingericht

Rollen, bereikbaarheid, besluitvorming en communicatie zijn vastgelegd en geoefend.

4 Incident response

Open

U moet bij incidenten adequaat kunnen reageren om negatieve gevolgen te beperken. Een incident response plan helpt hierbij.

Incident response plan bestaat en is actueel

Detectie, triage, containment, forensische bewaring, herstel, communicatie en lessons learned.

Logging en detectie zijn voldoende voor onderzoek

U kunt snel bepalen wat geraakt is, wanneer het begon en welke accounts betrokken zijn.

Oefeningen worden uitgevoerd en verbeterpunten worden opgevolgd

Tabletop, technische test of ketenoefening. Inclusief opvolging en aantoonbaarheid.

5 Cyberhygiëne

Open

Basisprincipes moeten op orde zijn. Denk aan patching, hardening, endpoint beveiliging, en training.

Patch en vulnerability management is ingericht

SLA’s per kriticiteit, scanning, uitzonderingen, en bewijs van tijdige updates.

Hardening baselines worden toegepast

Standaard configuraties, minimale services, veilige instellingen en beheer van uitzonderingen.

Awareness programma heeft meetbare dekking

Training, herhaling, phishing simulaties en follow up voor risicogroepen.

6 Beveiligingsbeleid voor netwerk en informatiesystemen

Open

U moet beleid vastleggen en kunnen aantonen dat het leeft. Dit gaat verder dan een document in een map.

Beleid set is compleet en actueel

Scope, doel, rollen, regels, uitzonderingen, en een review ritme met goedkeuring.

Data en systemen zijn geclassificeerd

U koppelt bescherming aan classificatie. Bijvoorbeeld strengere logging en toegangsregels voor kritieke systemen.

Change management en configuratiebeheer zijn aantoonbaar

Wijzigingen zijn geautoriseerd, getest, gedocumenteerd en herleidbaar.

7 Toeleveringsketen veilig

Open

Digitale verbindingen vergroten afhankelijkheid. U moet risico’s in leveranciers en keten beheersen.

Leveranciersregister met kriticiteit bestaat

U weet welke leveranciers toegang hebben tot wat, welke data zij verwerken, en wat de impact is bij uitval.

Contracten bevatten beveiligingseisen en meldafspraken

Denk aan incidentmelding, audit rechten, logging, subverwerkers, exit plannen en minimale baselines.

Bewijs voorbeelden
  • Template clausules en ondertekende afspraken
  • Due diligence of assurance rapporten
  • Exit plan voor kritieke leveranciers

Leveranciersmonitoring en herbeoordeling zijn ingericht

U herhaalt checks, volgt kwetsbaarheden, en herijkt risico’s bij wijzigingen.

8 Cryptografie en encryptie beleid

Open

U beschrijft technieken en maatregelen om vertrouwelijkheid en integriteit te beschermen, inclusief key management.

Encryptie in transit en at rest is geregeld waar nodig

Voor kritieke data en backups, met heldere uitzonderingen en verantwoording.

Key management is vastgelegd

Aanmaak, opslag, rotatie, toegang, en intrekking van sleutels zijn beheerst.

9 MFA en sterke authenticatie

Open

U gebruikt MFA of andere beveiligde authenticatiemechanismen voor toegang tot netwerken en informatiesystemen.

MFA is verplicht voor admin en remote toegang

Beheeraccounts, VPN, cloud consoles, en kritieke applicaties hebben MFA enforced.

Legacy authenticatie is uitgefaseerd waar mogelijk

U voorkomt zwakke protocollen en oude inlogmethodes die MFA omzeilen.

Device trust en conditional access zijn ingericht

Risico gebaseerde toegang, minimaal voor kritieke omgevingen en beheer.

10 Effectiviteit van maatregelen beoordelen

Open

U heeft processen om effectiviteit te beoordelen, verbeterpunten te vinden en aan te passen op nieuwe dreigingen.

Interne audits en checks zijn ingepland

U test controls, evalueert incidenten, en rapporteert status aan management.

Monitoring en KPI’s worden gebruikt

Bijvoorbeeld patch compliance, MFA dekking, incident doorlooptijden, restore tests, leveranciersstatus.

Kwetsbaarheden worden gevonden en opgevolgd

Scanning, pen tests waar passend, en aantoonbaar opvolgen met deadlines en owners.

Bewijs voorbeelden
  • Audit of control test rapport
  • Vulnerability backlog met status
  • Management review of rapportage

Meldplicht voorbereiding

Voor significante incidenten gelden in de NIS2 meldtermijnen die vaak als basis worden gebruikt in implementaties. Denk aan een early warning binnen 24 uur, een incidentmelding binnen 72 uur, en een eindrapport uiterlijk binnen 1 maand. :contentReference[oaicite:1]{index=1}

Meldproces en beslisboom

Open

Zorg dat u vooraf weet wat significant is, wie beslist, wat u binnen 24 uur kunt melden, en hoe u binnen 72 uur kunt aanvullen.

Criteria voor significant zijn vastgelegd

Impact, duur, omvang, ketenimpact, en risico voor dienstverlening worden gebruikt als beslisfactoren.

Contactpunten en bereikbaarheid zijn geregeld

Intern incident contact, extern communicatie, en afspraken met leveranciers en ketenpartners.

Templates voor early warning en opvolgmelding bestaan

U kunt snel melden wat er bekend is, wat vermoed wordt, en welke mitigatie al is gedaan.

Bewijs voorbeelden
  • Meldtemplate met velden en instructies
  • Incident logboek en tijdlijn format
  • Communicatie checklist richting klanten
Dit is geen juridisch oordeel. Gebruik dit als interne voorbereiding. Voor officiële eisen en interpretatie volgt u de relevante overheidsinformatie en uw toezichthouder.

Veelgestelde vragen

Vragen die vaak terugkomen bij organisaties die deze checklist invullen, vooral rond bewijs, proportionaliteit en leveranciers.

Moet alles in deze checklist volledig af zijn

De kern is passend en evenredig. U moet kunnen uitleggen waarom u bepaalde keuzes maakt, en aantonen dat u de risico’s beheerst. Gebruik de checklist als minimum baseline, en leg afwijkingen vast met motivatie en einddatum.

Wat bedoelen we met bewijs

Bewijs betekent dat u kunt laten zien dat een maatregel bestaat en werkt. Voorbeelden zijn beleid met goedkeuring, rapportages, logs, testresultaten, leveranciersafspraken en een aantoonbare verbetercyclus.

Hoe streng is leverancierscontrole in de praktijk

U moet aantonen dat u ketenrisico’s beheerst. Begin met een leveranciersregister met kriticiteit, voeg contracteisen toe voor de kritieke groep, en bouw monitoring en herbeoordeling in. Een exit plan is vaak de vergeten stap.

Is MFA genoeg als we het alleen op e mail hebben

Meestal niet. Start bij admin accounts, remote toegang en kritieke applicaties. Daarna breidt u uit met conditional access en device trust, zodat u risico gebaseerde toegang kunt afdwingen.

Bronnen die deze checklist onderbouwen

Gebruik deze als startpunt voor interne onderbouwing en beleid.

NCSC infosheet zorgplicht met de tien maatregelen en bestuurlijke verantwoordelijkheid, en de EU NIS2 richtlijn voor meldtermijnen.

NCSC infosheet zorgplicht
EU NIS2 richtlijn