RDI ziet grote uitdagingen voor IT-sector rondom nieuwe Cbw
Bedrijven die de ruggengraat vormen van de Nederlandse digitale economie zijn onvoldoende voorbereid op de komst van de nieuwe Cyberbeveiligingswet (Cbw). Uit een analyse van de NIS2-Quickscan door de Rijksinspectie Digitale Infrastructuur (RDI) blijkt dat met name het verplicht trainen van bestuurders, het inrichten van snelle meldprocedures en het beheersen van risico's in de toeleveringsketen grote knelpunten vormen.
De poortwachters van het internet onder de loep
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Zodra de wet van kracht wordt, moeten organisaties uit de sector 'digitale infrastructuur' – waaronder cloud- en datacenterdienstverleners, internetknooppunten, telecomaanbieders en DNS-dienstverleners – aan strenge beveiligingseisen voldoen. De RDI is aangewezen als de officiële toezichthouder voor deze specifieke sector.
Om te peilen hoe de markt ervoor staat, analyseerde de inspectie de resultaten van de online Quickscan, die tussen februari 2024 en september 2025 in totaal 829 keer volledig werd ingevuld door de achterban. Hoewel de scan een anoniem self-assessment is, schetsen de resultaten een helder beeld van de actuele struikelblokken.
Drie grote pijnpunten: werk aan de winkel
De respondenten geven aan dat hun organisaties op drie specifieke onderdelen nog flink tekortschieten:
1. Bestuurders moeten verplicht op cursus (Governance)
Een opvallende nieuwe eis in de Cbw is de persoonlijke trainingsverplichting voor uitvoerende bestuurders. Directieleden moeten zélf in staat zijn om cyberrisico's te identificeren en te beoordelen, en moeten hiervoor een certificaat behalen. Bovendien zijn zij verplicht deze kennis continu actueel te houden. Ook de rest van het personeel moet periodiek op cybersecuritytraining. Uit de scan blijkt dat veel organisaties deze verplichte certificering voor de top nog niet hebben geregeld.
2. Meldplicht binnen 24 uur
De wet introduceert een bikkelharde meldplicht voor zogeheten 'significante incidenten'. Zodra een ernstige cyberaanval of storing wordt ontdekt, moet een organisatie dit binnen 24 uur melden bij het sectorale Computer Security Incident Response Team (CSIRT). Binnen 72 uur moet een uitgebreide analyse volgen. De CSIRT deelt deze informatie vervolgens weer met de RDI. Veel partijen hebben de interne procedures om deze strakke deadlines te halen nog niet op orde.
3. Verantwoordelijkheid voor de toeleveringsketen
Onder de Cbw stopt de zorgplicht niet bij de eigen voordeur; bedrijven zijn ook direct verantwoordelijk voor de veiligheid van hun toeleveringsketen. Organisaties moeten via risicoanalyses in kaart brengen wat de impact is als een externe leverancier wordt gehackt of omvalt. Vervolgens moeten er met die leveranciers harde, passende afspraken worden gemaakt over maatregelen zoals multifactor-authenticatie (MFA) of fysieke toegangscodes. Dit ketenbeheer blijkt in de praktijk een van de meest complexe opgaven.
Wat gaat er al wel goed?
Gelukkig laat de Quickscan ook positieve trends zien. De sector scoort over het algemeen al goed op het gebied van incidentbehandeling; processen voor het registreren, beoordelen en rapporteren van incidenten aan het management zijn vaak al aanwezig.
Ook op het vlak van technische basisbeveiliging staan de meeste partijen er goed voor. Het gebruik van multifactor-authenticatie, gecodeerde communicatiesystemen (spraak en video) en back-up-noodcommunicatie is bij de meeste respondenten de standaard. Tot slot is de interne governance vaak al redelijk ingericht: het is binnen de bedrijven meestal duidelijk wie er binnen het bestuursorgaan verantwoordelijk is voor het nemen van securitybeslissingen.
Geen garanties
De RDI benadrukt dat de Quickscan met zijn 40 vragen bedoeld is als nulmeting en handelingsperspectief voor bedrijven. Een goede score op de scan biedt echter geen juridische garanties voor de toekomst. De toezichthouder roept alle partijen in de sector op om via de officiële zelfevaluatie op de website van de inspectie te controleren of en hoe zij precies onder de wetgeving vallen, om zo boetes of sancties te voorkomen zodra de Cbw definitief van kracht wordt.