De kogel is door de kerk: de Tweede Kamer heeft ingestemd met de Cyberbeveiligingswet. Deze wet is de Nederlandse vertaling van de Europese NIS2-richtlijn en verplicht duizenden organisaties om hun digitale weerbaarheid structureel op orde te brengen. Dit besluit is een belangrijk kantelpunt, want cybersecurity is hiermee definitief verschoven van een vrijblijvend IT-onderwerp naar een harde bestuurlijke verantwoordelijkheid en wettelijke eis.
Maar wat betekent deze wet nu echt voor jouw organisatie, en in het bijzonder voor de manier waarop je met leveranciers omgaat?
Bestuurlijke verantwoordelijkheid en een harde zorgplicht
De nieuwe Cyberbeveiligingswet laat weinig ruimte voor interpretatie. Bestuurders en het management worden expliciet verantwoordelijk voor het nemen van passende beveiligingsmaatregelen en het beheersen van digitale risico’s. Daarnaast introduceert de wet een strenge meldplicht: bij een ernstig cyberincident moet er binnen 24 uur een eerste waarschuwing worden afgegeven aan de bevoegde autoriteit.
Ketenbeveiliging is niet langer een keuze
Een van de meest impactvolle onderdelen van deze wetgeving is de expliciete focus op supply chain security (de beveiliging van de toeleveringsketen). De Rijksinspectie Digitale Infrastructuur (RDI), die als toezichthouder is aangewezen, is hier glashelder over: organisaties blijven verantwoordelijk voor de risico’s die via hun leveranciers en dienstverleners de organisatie binnenkomen.
Je moet inzicht hebben in wie je leveranciers zijn, welke risico’s zij met zich meebrengen, en je moet kunnen aantonen dat je deze risico’s actief beheerst. Zonder dit inzicht voldoe je simpelweg niet aan de wettelijke zorgplicht.
Papieren beleid en vragenlijsten schieten tekort
Het toezicht onder de Cyberbeveiligingswet zal zich niet laten afschepen met een jaarlijks ingevulde vragenlijst. De RDI benadrukt dat beleid alleen niet volstaat en dat organisaties hun leveranciers blijvend moeten volgen. Omdat dreigingen, kwetsbaarheden en digitale afhankelijkheden elke dag veranderen, is continue monitoring noodzakelijk om tijdig te kunnen bijsturen en verantwoording te kunnen afleggen. Leveranciersbeheer moet verschuiven van blind vertrouwen naar actuele verifieerbaarheid.
Krijg grip op NIS2 met RiskStudio
De eisen uit het regeerakkoord en de Cyberbeveiligingswet vragen om schaalbare, praktische hulpmiddelen. RiskStudio helpt organisaties door de traditionele, statische vragenlijsten te vervangen door een continue, geautomatiseerde informatiestroom.
Met onze ‘outside-in’ benadering monitoren wij 24/7 de digitale voetafdruk, kwetsbaarheden en actuele incidenten van jouw complete ecosysteem van leveranciers, zónder dat je afhankelijk bent van hun bereidwilligheid om data te delen. Hierdoor maak je direct inzichtelijk welke leveranciers een risico vormen en kun je incidenten snel signaleren, wat essentieel is om aan te tonen dat je jouw toeleveringsketen onder controle hebt volgens de NIS2-richtlijnen.
Tijd voor actie
Het akkoord in de Tweede Kamer bevestigt dat afwachten geen optie meer is. Organisaties die nu starten met het structureel inrichten van leveranciersmonitoring en governance, bouwen niet alleen aan compliance, maar creëren een weerbaardere organisatie.
Zorg dat je voorop loopt. Wil je weten hoe jouw organisatie in 60 minuten de eerste stappen kan zetten richting een NIS2-conforme supply chain? Ontdek het vandaag nog met RiskStudio.
