Home Home
Logo Cyberbeveiligingswet 2026
CBW2026 verplichtingen en aantoonbaarheid

Belangrijkste verplichtingen Cyberbeveiligingswet 2026

De Cyberbeveiligingswet vraagt niet om losse maatregelen, maar om aantoonbaar risicobeheer, incidentorganisatie en ketenbeveiliging. Op deze pagina vind je de kernverplichtingen, praktische checklists, een evidence pack dat je kunt kopieren, en een simpele prioriteiten scan waarmee je vandaag nog kunt starten.

Start met het overzicht Gebruik de checklists Doe de prioriteiten scan
Zorgplicht als basis
Meldplicht en tijdslijnen
Keten en leveranciers
Bestuur moet sturen

Wat je hier direct kunt gebruiken

Praktische checklists Voor zorgplicht, meldplicht, registratie en leveranciers.
Evidence pack Wat je klaar wil hebben voor toezicht, audits en klantvragen.
Prioriteiten scan In vijf minuten naar een plan voor de komende 30 dagen.

Belangrijke nuance

Het draait om aantoonbaarheid Niet alleen doen, maar ook kunnen laten zien dat het werkt.
Kleine partijen voelen het ook Via keteneisen, contracten en audits van klanten binnen scope.
Afbeelding plek voeg zelf toe
Tip Zet hier een visual met vier blokken: zorgplicht, meldplicht, registratie, keten en bestuur.

Het overzicht dat je wil onthouden

De Cyberbeveiligingswet komt steeds terug op dezelfde logica. Je moet risico’s beheersen, incidenten kunnen afhandelen, leveranciers in controle hebben, en je bestuur moet aantoonbaar sturen. Hieronder staat het compacte overzicht, en daarna de praktische uitwerking.

Zorgplicht in gewone taal

Je maakt bewuste keuzes over risico en maatregelen, gebaseerd op wat jij doet en wat er mis kan gaan. Je borgt beleid, techniek, mensen en processen. En je kunt laten zien dat dit structureel is ingericht, niet alleen een momentopname.

  • DoelBeperk kans en impact van cyberincidenten.
  • BewijsBeleid, risicoanalyse, maatregelen, controles en verbetercyclus.

Meldplicht in gewone taal

Als er een significant incident is, moet je snel kunnen opschalen, de juiste informatie verzamelen en melden via de route die voor jouw sector geldt. Dit werkt alleen als je vooraf een beslisboom, rollen en communicatie klaar hebt staan.

Snelle reality check

Als jij op vrijdagmiddag een ransomware melding krijgt, weet je dan binnen 15 minuten wie beslist, wie belt, wie schrijft, en waar je bewijs opslaat.

Registratie en contactpunten

Organisaties binnen scope moeten bereikbaar zijn voor waarschuwingen en afstemming. Dit betekent dat je contactpunten, incidentcontact en escalatielijnen actueel moeten zijn, inclusief vervanging bij afwezigheid.

  • DoelSneller reageren en coordineren bij dreiging.
  • BewijsRegistergegevens, rolbeschrijvingen, telefoonboom, on call afspraken.

Keten en leveranciers

Jij bent zo veilig als je zwakste leverancier. De wet verwacht dat je ketenrisico beheerst, eisen vastlegt, controleert, en dat je weet wat er gebeurt als een leverancier uitvalt of wordt aangevallen.

  • DoelContinuiteit en risico beheersing over de hele keten.
  • BewijsLeveranciersregister, kritikaliteit, contracteisen, audit trail, exit plan.

Bestuur en management zijn niet optioneel

De wet maakt cybersecurity een bestuurlijke verantwoordelijkheid. Dat betekent besluitvorming over risico, prioriteiten, leveranciers en incidenten. In de praktijk wil je dit vastleggen in beleid, overlegstructuur en een meetbare verbetercyclus.

De kernverplichtingen uitgelegd per onderdeel

Hieronder vind je de verplichtingen zoals je ze in audits, toezicht en klantvragen terugziet. Alles is geschreven zodat je het kunt vertalen naar acties, verantwoordelijkheden en bewijs. Gebruik de accordions om alleen te openen wat je nu nodig hebt.

Zorgplicht en risicobeheer

Zorgplicht betekent dat je passende en evenredige maatregelen neemt. Passend betekent dat het aansluit op jouw risico en impact. Evenredig betekent dat je niet alles maximaal hoeft te doen, maar dat je keuzes logisch en onderbouwd zijn.

In de praktijk gaat het om een vaste set bouwstenen: governance, risicoanalyse, beleid, technische basis, detectie, incidentrespons, herstel, en leveranciersbeheer. Niet elk bedrijf hoeft dezelfde tooling te hebben, maar elk bedrijf binnen scope moet dezelfde logica kunnen uitleggen.

Handige vraag voor je management: als je belangrijkste systeem morgen uitvalt, wat kost dat per uur, en welke maatregel is goedkoper dan die schade. Als je dit kunt beantwoorden, kun je ook prioriteren.

Meldplicht en incidentcommunicatie

Meldplicht werkt alleen als je vooraf je incidentproces hebt ingericht. Denk aan classificatie, beslisbevoegdheid, bewijs, communicatie, en een vaste route voor externe meldingen. Je wil geen discussie over wie iets mag melden terwijl je systemen branden.

Een goede aanpak is een drie lagen model. Laag 1 is detectie en triage. Laag 2 is besluit en escalatie. Laag 3 is melding en communicatie. Per laag benoem je rol, eigenaar en tijdslimiet. Zo kun je ook oefenen.

Vergeet keteneffect niet. Als je incident impact heeft op klanten, moeten afspraken klaar liggen over wie wat zegt en wanneer. Veel schade ontstaat door onduidelijke communicatie, niet alleen door de aanval zelf.

Registratieplicht en contactpunten

Registratie draait om bereikbaarheid en coordinatie. Een organisatie binnen scope moet een actueel contactpunt hebben, plus een incidentcontact dat ook buiten kantooruren werkt. Dit lijkt simpel, maar dit is een van de meest gemaakte fouten.

Maak het praktisch. Zet een telefoonboom, een groepsmailbox, en een calamiteiten kanaal klaar. Leg vast wie primaire en secundaire contact is. En test dit elk kwartaal met een korte oefening van 10 minuten.

Leveranciers en ketenbeveiliging

Ketenbeveiliging betekent dat je leveranciers niet alleen selecteert op prijs of gemak, maar ook op risico en continuiteit. Je maakt een leveranciersregister, bepaalt welke leveranciers kritiek zijn, en je legt minimale eisen vast in contracten.

Een simpele aanpak werkt vaak het best. Classificeer leveranciers in drie niveaus: kritisch, belangrijk, ondersteunend. Voor kritisch wil je een exit plan, een herstelafspraak, logging en meldafspraken, en periodieke controles.

Vergeet cloud en managed services niet. Veel organisaties leunen zwaar op externe partijen, maar kunnen niet uitleggen welke afhankelijkheden er zijn. Juist dat wil je inzichtelijk maken.

Bestuur, toezicht en handhaving

Bestuur en management moeten sturen op cyberrisico. Dat betekent dat er besluiten moeten zijn over risicoacceptatie, prioriteiten en investeringen, en dat er periodieke rapportage is over de staat van beveiliging. Niet alleen een IT rapport, maar een management rapport.

Voor toezicht is het belangrijk dat je bewijs hebt. Niet perfecte papieren, maar aantoonbare processen die werken. Denk aan incidentoefeningen, controles op toegang, en verbeteracties met eigenaar en deadline.

De snelste manier om dit te regelen is een vaste ritme. Maandelijks operationeel overleg, per kwartaal bestuursoverleg, jaarlijks een grotere oefening.

Afbeelding plek voeg zelf toe
Tip Maak een visual met vijf blokken: risicobeheer, detectie, incidentrespons, keten, bestuur.

Checklists die je echt kunt gebruiken

Dit zijn praktische checklists die je kunt gebruiken in een overleg of audit voorbereiding. Vink aan wat je al hebt. De status wordt lokaal opgeslagen in je browser, dus je kunt later verder gaan.

Checklist zorgplicht

Checklist meldplicht

Checklist registratie en contact

Checklist leveranciers en keten

Hoe je dit morgen al toepast

Neem deze checklists mee in een overleg van 30 minuten. Vink eerlijk aan wat echt staat en werkt. Alles wat niet werkt, wordt een actie met eigenaar en datum. Dit ene overleg maakt vaak meer verschil dan een maand losse tickets.

Evidence pack wat je klaar wil hebben

Dit is het setje bewijs dat je vaak nodig hebt bij toezicht, audits, of vragen van klanten binnen scope. Je hoeft dit niet perfect te maken. Je wil dat het klopt, actueel is, en dat je kunt aantonen dat je het gebruikt.

Documenten die meestal gevraagd worden

  • RisicoanalyseTop systemen, top dreigingen, top impact, plus prioriteiten.
  • Beleid en governanceWie beslist, wie uitvoert, en hoe je rapporteert.
  • IncidentplanRollen, beslisboom, communicatie en oefeningen.
  • LeveranciersregisterKritikaliteit, eisen, controles en exit plan.
  • VerbeterlogActies, eigenaar, deadline, en status.

Bewijs dat vaak zwaarder weegt dan papier

In de praktijk wil je kunnen laten zien dat processen werken. Een kort log van incidentoefeningen, een bewijs van backup herstel, en een voorbeeld van hoe je een security issue hebt opgepakt, overtuigt vaak sneller dan een dik document.

  • OefenresultaatScenario, deelnemers, beslissingen, verbeterpunten.
  • HersteltestWanneer getest, wat hersteld, hoe lang het duurde, wat beter moet.
  • LeveranciersreviewEen review met acties die je hebt afgedwongen.

Copy paste evidence pack template

Gebruik dit als start voor je interne memo of als structuur voor een map in je GRC of SharePoint. Je kunt dit kopieren met de knop. 

CBW2026 Evidence Pack

1 Organisatie en scope
- Entiteit naam
- Sector en type
- Essentieel of belangrijk
- Contactpunt en incidentcontact

2 Risico en prioriteiten
- Top 10 systemen en processen
- Top 10 dreigingen en scenario's
- Impact per uur per proces
- Prioriteiten en risicoacceptatie

3 Maatregelen en controles
- Toegang en rollen
- Patch en update proces
- Logging en monitoring bronnen
- Security baselines en configuraties

4 Incidentorganisatie
- Incidentrollen en bereikbaarheid
- Beslisboom significant incident
- Communicatie templates
- Oefeningen en lessons learned

5 Herstel en continuiteit
- Backup ontwerp
- Hersteltest resultaten
- Herstelrunbooks
- RTO en RPO of praktische doelen

6 Leveranciers en keten
- Leveranciersregister met kritikaliteit
- Minimale contracteisen
- Review en audit afspraken
- Exit plan voor kritieke leverancier

7 Verbetercyclus
- Actielijst met eigenaar en datum
- KPI's of meetpunten
- Bestuursrapportage ritme
Status
Gebruik de knop om het template te kopieren.

Prioriteiten scan in 5 minuten

Deze scan geeft geen juridisch oordeel. Het helpt je bepalen waar je het meeste risico en de meeste compliance winst pakt in 30 dagen.

Uitkomst
Vul de velden in voor je top 5 acties.
Tip: zet je uitkomst direct om naar een actiesheet met eigenaar en deadline. Als je wilt kun je hierna door naar de reikwijdte pagina.

Veelgestelde vragen over verplichtingen

Deze vragen komen het vaakst terug bij bestuurders, IT verantwoordelijken en compliance teams. Alles is geschreven als praktische uitleg en helpt je sneller tot een plan te komen.

Moet ik alles perfect hebben voordat toezicht begint

Nee. Je wil dat je basis klopt en dat je een aantoonbaar verbeterplan hebt. Toezicht kijkt vaak naar risico, prioriteiten, en of je structureel aan het verbeteren bent. Een klein team kan compliant zijn als de keuzes logisch zijn en processen werken.

Wat is de snelste eerste stap voor bestuur en management

Kies een eigenaar, leg een ritme vast, en start met een top 10 risico lijst. Daarna maak je een 30 dagen plan met 5 acties die de meeste impact hebben. Dat is precies waarom de prioriteiten scan op deze pagina bestaat.

Ik heb veel leveranciers. Moet ik iedereen even diep controleren

Nee. Je werkt met kritikaliteit. Voor de kleine set kritieke leveranciers wil je diepere afspraken en bewijs. Voor de rest volstaat een lichtere aanpak. Het belangrijkste is dat je kunt uitleggen waarom je zo prioriteert.

Hoe weet ik wat een significant incident is

Je maakt vooraf een beslisboom met drempels. Denk aan impact op dienstverlening, duur van uitval, schaal, data effect, keteneffect, en risico op maatschappelijke impact. Het belangrijkste is dat je dit vooraf vastlegt en oefent, zodat je in stress niet hoeft te improviseren.

Interne links die hier logisch bij passen

Voeg op CBW2026 interne links toe naar je reikwijdte pagina, je sector pagina en je meldplicht uitleg. Zet ook een link naar een pagina over zorgplicht maatregelen en een pagina over leveranciers en ketenrisico. Dit helpt bezoekers en het maakt je content sterker.