Compliance als eindpunt
Een gap-analyse, een plan, beleid geschreven, certificaat behaald. Maar compliance is een momentopname. De wet vraagt maatregelen die aantoonbaar blijven werken, niet een status die je één keer haalt.
De Cyberbeveiligingswet legt de eindverantwoordelijkheid bij het bestuur. Artikel 21 vraagt passende en evenredige maatregelen, artikel 24 vraagt dat het bestuur er actief toezicht op houdt. Een afgevinkte checklist en een ISO-certificaat tonen aan dat iets bestond, niet dat het werkt. Dat verschil is precies waar een toezichthouder naar kijkt.
Het probleem
De Cbw treedt in werking in 2026. Drie patronen die organisaties in de problemen brengen, niet omdat ze niets doen, maar omdat ze het verkeerde aantonen.
Een gap-analyse, een plan, beleid geschreven, certificaat behaald. Maar compliance is een momentopname. De wet vraagt maatregelen die aantoonbaar blijven werken, niet een status die je één keer haalt.
Een ISO-certificaat helpt, maar ENISA en de toezichthouder stellen het expliciet: certificering helpt bij NIS2, maar volstaat niet. De zorgplicht vraagt meer dan een audit op een peildatum.
Artikel 24 vraagt actief toezicht, geen handtekening. Een bestuurder die zijn CISO of een adviseur tekent en verder vertrouwt, voldoet niet aan de norm, en kan dat bij een incident niet verdedigen.
Hoe we het doen
Geen checklist afvinken. We meten de werkelijke staat tegen wat de wet vraagt, en bouwen de verantwoording die bij een toezichthouder standhoudt.
Welke Cbw-verplichtingen zijn gedekt, welke niet, en welke maatregelen bestaan wel maar werken aantoonbaar niet. Geen papieren gap-analyse, maar een toets op werking.
Artikel 24 vraagt dat het bestuur toezicht houdt en de trainingsplicht haalt. We leveren de rapportage in bestuurstaal waarmee het die rol kan vervullen, en de afweging kan nemen en verdedigen.
We sluiten de gaten tussen beleid en praktijk, en richten de maatregelen zo in dat ze bewijs produceren. Niet ontworpen en aanwezig, maar werkend onder druk.
Toetsing, bewijs en rapportage als doorlopende cyclus, zodat de verantwoording klopt op elke datum. Daarna draait het zelf, ook als de toezichthouder langskomt.
Wat je overhoudt
Het onderscheid
De markt levert een gap-analyse en een plan van aanpak. Wij beginnen bij een toets van de werkelijke staat: wat is gedekt, wat niet, en welke maatregelen bestaan maar werken niet.
Aantoonbare effectiviteit boven formele compliance. De Cbw-toezichthouder toetst of maatregelen werken onder druk, niet of ze op papier bestaan. En NIS2 staat niet los: de verplichtingen raken kwetsbaarheidsbeheer, detectie, leveranciersrisico en governance tegelijk. Wij verbinden die als systeem.
We kiezen geen compliance-tool en verkopen geen GRC-platform. Capabilities en uitkomsten, het instrument is een middel. Zo is het advies van jou, niet van een leverancier.
Het auditprincipe direct toegepast: een maatregel telt pas als hij standhoudt onder druk, niet als hij op de auditdatum bestond. Dat is precies wat de wet vraagt.
Geen rapport dat in de la verdwijnt, maar materiaal waarmee het bestuur de afweging kan nemen, verdedigen en aantonen dat het zorgvuldig heeft gehandeld.
Aan de slag
Geen implementatietraject van maanden om te beginnen. Eén gesprek waarin we bepalen waar je staat tegen de wet, en wat er nodig is om een verantwoording te bouwen die standhoudt.