Waarom NIS2 nu de Cyberbeveiligingswet heet
De Europese NIS2‑richtlijn is in Nederland vertaald naar de Cyberbeveiligingswet. De kern: bestuurders moeten aantoonbaar grip hebben op cyberrisico’s en digitale continuïteit. Veel overheden vallen hieronder; voor woningcorporaties is de wet niet expliciet, maar de norm werkt wel door.

Bestuur en directie worden expliciet verantwoordelijk voor:

• beleid en risicobereidheid vaststellen
• toezicht op maatregelen organiseren
• aantoonbaar zijn richting toezichthouders

Daarmee is cyberrisico direct gekoppeld aan bestuurdersaansprakelijkheid, toezicht en reputatie. “Niet weten” of “het was een IT‑aangelegenheid” is geen excuus meer.

De realiteit: incidenten raken continuïteit én vertrouwen
Incidenten bij organisaties als Odido en ChipSoft laten zien dat het niet alleen om datalekken gaat, maar vooral om uitval, ontwrichting en reputatieschade.

Voor de publieke sector is de impact vaak nog groter:

• zorg of dienstverlening die stilvalt
• huurders zonder toegang
• directe politieke en media-aandacht

Cyberincidenten zijn een organisatiebreed thema. De vraag is niet óf het gebeurt, maar wanneer - en of bestuurders hun keuzes kunnen uitleggen.

Bestuurlijke keuzes vastleggen = imagorisico beheersen
In de publieke sector is één aspect cruciaal: vastleggen welke keuzes zijn gemaakt en waarom. Dat helpt om achteraf te verantwoorden:

• waarom bepaalde risico’s zijn geaccepteerd
• welke maatregelen zijn genomen
• en waarom die keuzes toen logisch en verdedigbaar waren

Die documentatie helpt bij vragen van toezichthouders, media/stakeholders of - in het uiterste geval - de rechter.

Cyberweerbaarheid is daarmee ook reputatiebescherming.

Van awareness naar bestuurbaarheid: ons 5‑stappenplan
Acrisure werkt met een integraal 5‑stappenplan dat aansluit op de Cyberbeveiligingswet en de bestuurlijke praktijk.

Stap 1 Governance & risk appetite
We leggen eigenaarschap vast: wie is verantwoordelijk, hoe rapporteren we en welk risico is acceptabel? Inclusief bestuurders‑ en imagorisico’s.

Stap 2 Risico‑inventarisatie & scenario’s
We bepalen wat kritisch is (processen, systemen, data) en vertalen scenario’s zoals ransomware naar bestuurlijke impact.

Stap 3 Technisch assessment
We laten de technische weerbaarheid waar nodig toetsen en vertalen dit naar prioriteiten en verzekerbaarheid.

Stap 4 Roadmap & ketenaanpak
We maken een roadmap: wat moet nu, wat later, en wat accepteren we? Ook de keten (leveranciers/software) nemen we mee.

Stap 5 Verzekeringsstrategie & crisisparaatheid
Restrisico blijft. We koppelen het risicoprofiel aan een passende cyberverzekering en toetsen crisisorganisatie en communicatie.

De cyberverzekering: geen oplossing, wel comfort
Een cyberverzekering is geen vervanging van beleid of maatregelen, maar een logisch sluitstuk. Als restrisico biedt zij:

• financiële opvang,
• toegang tot incident response,
• ondersteuning bij herstel en communicatie.

Voor bestuurders kan dit rust geven op het moment dat de druk het hoogst is.

Kortom:
Cyberweerbaarheid draait in 2026 om bestuurlijke keuzes, aantoonbaarheid en verantwoording. Organisaties die investeren in structuur, vastlegging en samenhang beschermen hun continuïteit én publieke vertrouwen.

Wie straks het sterkst staat, is niet per se degene zonder incidenten, maar degene die kan laten zien dat er bewust en aantoonbaar is gehandeld. Daarom ontwikkelde Acrisure dit 5‑stappenplan: om bestuurders te helpen kiezen, vastleggen en voorbereid te zijn.