Bestuurders worden persoonlijk verantwoordelijk gehouden voor de digitale weerbaarheid van hun organisatie. Voor duizenden Nederlandse bedrijven - zo'n 8.000 organisaties in vitale sectoren zoals zorg, energie, transport en telecom vallen direct onder de NIS2 en nog vele meer is indirect - is dit geen vrijblijvende exercitie. Niet voldoen betekent boetes, aansprakelijkheid en het risico opdrachten te verliezen. De urgentie is hoog, maar de vraag die veel bestuurders en organisaties stellen is simpel: waar te beginnen? Het antwoord: het CBW Loket.
NIS2 en de Cyberbeveiligingswet grijpen in op drie totaal verschillende domeinen:
Tot nu toe liepen organisaties vaak vast in een lappendeken van losse adviezen. De jurist weet wat technisch kan, en de securityspecialist kent de dreigingen. Maar wie zorgt dat het één geheel wordt?
Om precies die versnippering te doorbreken, is begin september het CBW Loket geopend, een uniek samenwerkingsverband van:
Hun belofte is eenvoudig maar krachtig: één loket waar organisaties terechtkunnen voor de hele route naar NIS2-compliance. 'Veel bedrijven zijn al verder dan ze denken,' zegt Dave Maasland, CEO van ESET Nederland. 'Wij maken inzichtelijk waar je staat. Het doel is niet alleen compliant worden, maar vooral aantoonbaar weerbaar zijn. Dat is uiteindelijk wat je aantrekkelijk maakt als partner in de keten.' De rol van KNNS: van plan naar praktijk. 'Het onderscheidende vermogen van het CBW Loket is dat we niet stoppen met adviezen,' zegt Ron van den Broek van KNNS. 'Wij zorgen dat de oplossingen ook daadwerkelijk in de praktijk landen. Van juridische onderlegger tot technische implementatie: het sluit allemaal op elkaar aan.' De grootste verschuiving die NIS2 brengt, is dat cybersecurity niet langer een technisch vraagstuk is, maar een bestuursverantwoordelijkheid. Niels van den Bogaard van PVDB noemt het een "chefsache": 'Bestuurders moeten weten welke vragen ze moeten stellen, welke risico's er zijn en welke keuzes gemaakt moeten worden. Je kunt je niet langer verschuilen achter de IT-afdeling. Dat is nieuw voor veel organisaties, en precies waar het CBW Loket helpt. 'De vergelijking met de AVG in 2018 dringt zich op, meent hij. 'Ook toen dachten veel bedrijven dat de wet hen niet zou raken, totdat de werkelijkheid anders bleek. NIS2 kan op eenzelfde manier een wake-upcall worden.'
Waar ESET de security-expertise inbrengt en PVDB de juridische kaders bewaakt, neemt KNNS de cruciale rol van implementatiepartner op zich. 'Wij zorgen dan plannen geen rapporten blijven,' legt Van den Broek uit. 'We vertalen alles naar concrete IT-oplossingen en organisatorische maatregelen. Denk aan netwerkbeveiliging, monitoring, awareness-training, en het borgen van processen. Alleen zo wordt compliance geen papieren werkelijkheid, maar operationele realiteit.' Juist daarin zit de kracht van het CBW Loket: het is niet óf juridisch, óf technisch, óf organisatorisch - maar alles tegelijk.
NIS2 staat niet op zichzelf, maar is onderdeel van een bredere zoektocht van Europa naar digitale soevereiniteit. Waar we decennialang vertrouwden op Amerikaanse of Aziatische technologie, groeit nu het besef dat vitale infrastructuur in eigen handen moet worden beschermd. 'Het feit dat wetgeving nodig is, is een teken aan de wand,' zegt Maasland. 'Bedrijven hebben het cyberrisico lang onderschat. Met NIS2 willen we een Europa dat veiliger en weerbaarder is. Niet voor niets zei Europarlementariër Bart Groothuis: NIS2 is een vloer, geen plafond.' De urgentie is geen theoretisch probleem, blijkt ook uit het datalek bij Clinical Diagnostics. Hackers wisten de gegevens van 850 duizend vrouwen die zich hebben laten testen op baarmoederhalskanker te bemachtigen. 'Het is een goed voorbeeld dat je als gebruiker niet alleen zorgvuldig met de gegevens moet omgaan, maar de data ook zorgvuldig moet beschermen.' De initiatiefnemers van het CBW Loket zijn kritisch over het publiekelijk afschuiven van de verantwoordelijkheid dat volgde. 'Het ging niet alleen over een technisch lek, maar vooral over wiens verantwoordelijkheid het lek was. Wie had de diefstal moeten voorkomen? Alle partijen wijzen naar elkaar. In de toekomst kom je daar niet meer mee weg. Onder NIS2 kunnen bestuurders die niet meer afschuiven of je verschuilen achter de IT-afdeling. Verantwoordelijkheid nemen wordt verplicht. In die zin is het een mooi voorbeeld hoe van bestuurders wordt verwacht dat ze verantwoordelijkheid nemen voor de bescherming van vitale en kritieke infrastructuren.'
Het is verleidelijk om NIS2 te zien als een verplicht nummer: een checklist die extra werk oplevert en boetes voorkomt. Maar de initiatiefnemers benadrukken dat dit te kort door de bocht is. Organisaties die hun zaken aantoonbaar op orde hebben, krijgen:
'Als je het goed aanpakt, kan het zelfs geld opleveren,' zegt Maasland. 'NIS2 gaat niet alleen over risico's vermijden, maar ook over slimmer en sterker worden.'
De Cyberbeveiligingswet en NIS2 markeren een kantelpunt. Waar cybersecurity ooit bij de systeembeheerder lag, wordt het nu een strategische prioriteit en een Europese noodzaak. Het CBW Loket is daarin meer dan een hulpmiddel. Het is een symbool van de weg die Nederland en Europa moeten inslaan: weg van versnippering, op naar samenhang en volwassenheid in digitale veiligheid. Met ESET, PVDB én KNNS als complementaire partners biedt het loket niet alleen de route naar compliance, maar vooral de zekerheid dat organisaties er sterker en toekomstbestendig uitkomen. Want in een wereld waar cyberaanvallen dagelijkse realiteit zijn, kunnen we ons geen losse eindjes meer permitteren.
Het CBW Loket werkt volgens een gestructureerde, chronologische aanpak: