Naar hoofdinhoud
NIS2 & CYBERBEVEILIGINGSWET

De toezichthouder toetst of het werkt, niet of de lijst klopt.

De Cyberbeveiligingswet legt de eindverantwoordelijkheid bij het bestuur. Artikel 21 vraagt passende en evenredige maatregelen, artikel 24 vraagt dat het bestuur er actief toezicht op houdt. Een afgevinkte checklist en een ISO-certificaat tonen aan dat iets bestond, niet dat het werkt. Dat verschil is precies waar een toezichthouder naar kijkt.

KadersNIS2 (EU 2022/2555), Cbw art. 21 & 24, DORA
Voor wieBestuur, CISO, security manager
DoorlooptijdNulmeting 2-3 weken, programma 3-6 maanden

Het probleem

Compliant op papier is geen verantwoording die standhoudt.

De Cbw treedt in werking in 2026. Drie patronen die organisaties in de problemen brengen, niet omdat ze niets doen, maar omdat ze het verkeerde aantonen.

Compliance als eindpunt

Een gap-analyse, een plan, beleid geschreven, certificaat behaald. Maar compliance is een momentopname. De wet vraagt maatregelen die aantoonbaar blijven werken, niet een status die je één keer haalt.

ISO 27001 als volledig antwoord

Een ISO-certificaat helpt, maar ENISA en de toezichthouder stellen het expliciet: certificering helpt bij NIS2, maar volstaat niet. De zorgplicht vraagt meer dan een audit op een peildatum.

Een bestuur dat tekent en vertrouwt

Artikel 24 vraagt actief toezicht, geen handtekening. Een bestuurder die zijn CISO of een adviseur tekent en verder vertrouwt, voldoet niet aan de norm, en kan dat bij een incident niet verdedigen.

Hoe we het doen

Eerst toetsen wat werkt, dan aantoonbaar maken wat telt.

Geen checklist afvinken. We meten de werkelijke staat tegen wat de wet vraagt, en bouwen de verantwoording die bij een toezichthouder standhoudt.

01

Nulmeting

Welke Cbw-verplichtingen zijn gedekt, welke niet, en welke maatregelen bestaan wel maar werken aantoonbaar niet. Geen papieren gap-analyse, maar een toets op werking.

02

Bestuur in positie

Artikel 24 vraagt dat het bestuur toezicht houdt en de trainingsplicht haalt. We leveren de rapportage in bestuurstaal waarmee het die rol kan vervullen, en de afweging kan nemen en verdedigen.

03

Maatregelen die werken

We sluiten de gaten tussen beleid en praktijk, en richten de maatregelen zo in dat ze bewijs produceren. Niet ontworpen en aanwezig, maar werkend onder druk.

04

Een cyclus die standhoudt

Toetsing, bewijs en rapportage als doorlopende cyclus, zodat de verantwoording klopt op elke datum. Daarna draait het zelf, ook als de toezichthouder langskomt.

Wat je overhoudt

Een verantwoording die standhoudt, niet een certificaat dat verloopt.

  • Aantoonbaar werkende maatregelen, niet alleen gedocumenteerd beleid
  • Een bestuur dat zijn toezichtstaak kan vervullen en de trainingsplicht haalt
  • Rapportage in bestuurstaal, niet in incidentaantallen
  • Een antwoord op "doen we genoeg" dat standhoudt bij de toezichthouder
  • NIS2, DORA en je bestaande ISO-stelsel verbonden, niet als losse projecten

Het onderscheid

Diagnose vóór compliance

De markt levert een gap-analyse en een plan van aanpak. Wij beginnen bij een toets van de werkelijke staat: wat is gedekt, wat niet, en welke maatregelen bestaan maar werken niet.

Aantoonbare effectiviteit boven formele compliance. De Cbw-toezichthouder toetst of maatregelen werken onder druk, niet of ze op papier bestaan. En NIS2 staat niet los: de verplichtingen raken kwetsbaarheidsbeheer, detectie, leveranciersrisico en governance tegelijk. Wij verbinden die als systeem.

Onafhankelijk, geen tool of platform

We kiezen geen compliance-tool en verkopen geen GRC-platform. Capabilities en uitkomsten, het instrument is een middel. Zo is het advies van jou, niet van een leverancier.

Operating effectiveness, geen peildatum

Het auditprincipe direct toegepast: een maatregel telt pas als hij standhoudt onder druk, niet als hij op de auditdatum bestond. Dat is precies wat de wet vraagt.

Het bestuur kan het verdedigen

Geen rapport dat in de la verdwijnt, maar materiaal waarmee het bestuur de afweging kan nemen, verdedigen en aantonen dat het zorgvuldig heeft gehandeld.

Aan de slag

Klaar voor de Cbw, of compliant op papier?

Geen implementatietraject van maanden om te beginnen. Eén gesprek waarin we bepalen waar je staat tegen de wet, en wat er nodig is om een verantwoording te bouwen die standhoudt.

Plan een gesprek

30 minuten met een senior, geen pitch.

Gesprek aanvragenBel direct088 - 163 23 25