Aan de slag met de Cyberbeveiligingswet (Cbw)

Hoe kunnen zorg­organisaties voldoen aan de Cyberbeveiligingswet (Cbw)? Tijdens het kort-maar-krachtige webinar ‘Voorbereiden op de Cbw’ gaf Lourens Dijkstra namens Informatieveilig gedrag in de zorg (IVGZ) tekst, uitleg en praktische tips. ‘Het is aan de bestuurder en CISO om eigenaarschap te tonen en binnen de  zorgorganisatie aan de slag gaan met deze wet.’ Bekijk die video onderaan dit artikel.

De Cbw, de Nederlandse uitwerking van de Europese NIS2, moet eraan gaan bijdragen dat Nederland veiliger wordt op cyber-securitygebied. De wet heeft als doel: het vergroten van de digitale weerbaarheid van organisaties en de continuïteit van de zorg beter te waarborgen bij incidenten. ‘Het niveau van de beheersmaatregelen moet omhoog om de zorg veiliger te maken’, legt Dijkstra uit.

De Cbw geldt voor zorgorganisaties met meer dan 50 fte en/of een omzet van meer dan 10 miljoen euro op jaarbasis. De verwachting is dat de wet na de zomer van 2026 van kracht wordt.

Meldplicht

In de Cbw is een aantal verplichtingen opgenomen. ‘Zo hebben zorgorganisaties een meldplicht. Dit betekent dat zij een “significant incident” binnen 24 uur moeten melden bij Z-Cert. Binnen 72 uur moeten ze bovendien rapporteren: hoe heeft dit kunnen gebeuren, en wat hebben we vervolgens gedaan?’, zegt Dijkstra. Wat een ‘significant incident’ is, is op dit moment overigens nog niet heel concreet omschreven. ‘Dit wordt de komende tijd, dus voordat de wet ingaat, nog uitgewerkt.’

Registratieplicht en zorgplicht

Zorgorganisaties hebben ook een registratieplicht: ze dienen zich in te schrijven bij het Nationaal Cyber Security Centrum (NCSC). ‘Zij kunnen dat straks doen via een portal’, aldus Dijkstra.

Dan is er nog de zorgplicht. Die heeft heel veel raakvlakken met inrichting van het Information Security Management System (ISMS) – wat de basis is van de Nederlandse norm voor informatiebeveiliging in de zorg, de NEN 7510, licht Dijkstra toe. ‘Zorgorganisaties die daaraan voldoen, zijn een heel eind; zij voldoen al grotendeels aan de zorgplicht.’

Bij het gaan voldoen aan de norm kan het Stappenplan Implementatie NEN 7510 behulpzaam zijn (zie figuur 1, en deze NEN-pagina).

Figuur 1: Stappenplan Implementatie NEN 7510. (Bron: NEN.)

Crisisbeheer

Zorgorganisaties moeten verder nog nadenken over crisisbeheer, zo staat in de Cbw. ‘Toetsen ze regelmatig hoe het staat met de beveiligingsrisico’s? Doen ze bijvoorbeeld jaarlijks een calamiteitenoefening over een ransomware-aanval? Is er voldoende oog voor de bedrijfscontinuïteit?’, somt Dijkstra op. ‘Het is essentieel dat er back-ups en noodvoorzieningen geregeld zijn voor als er iets uitvalt. Denk aan bijvoorbeeld het EPD of het lokale telefoniesysteem. Zorgorganisaties moeten beschikken over een plan B.’

Bestuurlijke aansprakelijkheid

Een cruciaal onderdeel van de Cbw gaat over bestuurlijke aansprakelijkheid. ‘Bestuurders moeten de informatieveiligheid goed op orde hebben. Het is belangrijk dat ze leren begrijpen welke risico’s de informatieveiligheid bedreigen, en welke maatregelen zij kunnen nemen om deze risico’s af te dekken’, legt Dijkstra uit. ‘En dat zij nadenken over welke “restrisico’s” zij accepteren.’

Hij benadrukt dat zorgorganisaties volgens de Cbw ook verantwoordelijk zijn voor diensten die ze afnemen van leveranciers, bijvoorbeeld clouddiensten. ‘Dit betekent dat ze moeten toetsen of leveranciers hun informatiebeveiliging goed op orde hebben.’

De IGJ gaat toezicht houden op de bestuurlijke aansprakelijkheid. En kan boetes opleggen als deze niet goed wordt ingevuld.

Opleidingen

In de Cbw staat verder nog dat bestuurders zich moeten scholen in risicomanagement. Elf Nederlandse zorgkoepels hebben een ‘programma van eisen’ opgesteld, op basis van wat de Cbw gaat vragen van opleidingen voor bestuurders. ‘We willen samen komen tot een standaardopleiding’, zegt webinar-deelnemer Heleen Reijerse (in het dagelijks leven beleidsadviseur bij de Nederlandse Vereniging van Ziekenhuizen). ‘Dat is handig voor als bestuurders wisselen van zorgorganisatie of -sector. Verschillende – regionale – partners en bureaus voeren de opleiding straks uit.’

Met een eenmalige opleiding zijn bestuurders er echter niet, zegt Reijerse: ‘De gedachte is dat de training steeds opnieuw een vervolg krijgt. De wereld verandert immers snel.’ Dit vraagt om permanente educatie.

Bestuurders hoeven overigens niet op stel en sprong scholing te gaan volgen. ‘Ze hebben hiervoor nog twee jaar de tijd. Ze kunnen dus even pas op de plaats maken en bijvoorbeeld het regionale (keten)aanbod afwachten’, aldus Dijkstra.

Bestuurder en CISO samen op pad

Wie moeten er nu binnen zorgorganisaties aan de slag met de Cyberbeveiligingswet? In de eerste plaats de bestuurder en CISO, stelt Dijkstra. ‘Zij zitten samen op de tandem, maar hebben elk hun eigen rol.’

Figuur 2: ISMS op orde met behulp van de PDCA-cyclus. (Bron: Van der Wens (2020), p. 26.)

Wat doet de bestuurder?
‘De bestuurder dient eigenaarschap te tonen’, zegt Dijkstra. ‘Bestuurders moeten de wet snappen, serieus nemen en erop gaan sturen. Waar kun je dan aan denken? Bijvoorbeeld aan het periodiek agenderen van de Cbw in de raad van bestuur, de auditcommissie van de raad van toezicht, het directieteam. De bestuurder kan een lid van het directieteam bovendien verantwoordelijk maken voor dit thema. En een opdracht formuleren voor een multidisciplinair “Projectteam Cbw”. Dat zou een GAP-analyse kunnen uitvoeren om in kaart te brengen hoe “volwassen” de organisatie is als het gaat om de verschillende onderdelen uit de wet.’

Dijkstra vervolgt: ‘De bestuurder laat ook, indien nodig, het ISMS beter inrichten. Tot slot bespreekt de bestuurder in de Stuurgroep Informatieveiligheid & Privacy (IV&P) wat de organisatie onderneemt om te voldoen aan de Cbw.’

Wat doet de CISO?
De rol van de CISO is: informeren en implementeren. Dijkstra: ‘Hij brengt de Cbw steeds opnieuw onder de aandacht van raad van bestuur en directieteam. Dit betekent: vertellen wat er op de organisatie afkomt, wat de impact is van de wet. Verder is de CISO betrokken bij praktische zaken, zoals het de jaarlijkse scholing van de medewerkers. En het beter inrichten van het meldproces bij incidenten, en van het ISMS, waarbij hij tevens de kosten in kaart brengt.’

Dijkstra gaat verder: ‘De CISO richt het ISMS-verbeterproces in volgens de cyclus van Plan-Do-Check-Act (zie figuur 2, red.) En voert audits uit om te checken of de gemaakte afspraken over informatiebeveiliging goed worden uitgevoerd. Vervolgens rapporteert hij aan de bestuurder in de Stuurgroep IV&P.’

Tool voor GAP-analyse

Zorgorganisaties die willen weten wat ze concreet moeten doen om te voldoen aan de Cbw, kunnen een tool gebruiken van Waker Cybersecurity. ‘De tool is uit 2025 en bestaat uit een puntsgewijze opsomming van alle onderdelen van de wet, inclusief wat hierover in ISO 27001 staat’, zegt Dijkstra. ‘De laatste updates van de wet zijn er nog niet verwerkt, maar toch biedt deze tool al veel handvatten. Per onderdeel zijn de eisen zichtbaar én de maatregelen die zorgorganisaties kunnen nemen om eraan te voldoen. Organisaties vinken aan welke onderdelen op orde zijn en welke niet. Dit maakt snel duidelijk waar ze nog iets te doen hebben.’

GAP-analyse

Met dank aan: Waker Cybersecurity

Download de analyse

Kijk het webinar terug

Meer informatie
Symposium en masterclass
– Op 20 mei 2026 organiseren IVGZ, Z-Cert en de Nederlandse GGZ in Amersfoort een symposium voor bestuurders en CISO’s over de Cyberbeveiligingswet in de ggz.
– IVGZ verzorgt masterclasses voor experts informatieveiligheid in de zorg. Zij leren hierin werken met de Wegwijzer voor informatieveilig gedrag.

Downloads
Aan de slag met Cbw: download pdf

Het programma Informatieveilig gedrag in de zorg wordt uitgevoerd door stichting ECP | Platform voor de Informatiesamenleving in opdracht van het ministerie van VWS.

Logo van
Logo van

Navigatie
Snel naar
Handige links
Footer 4

© 2026 - informatieveiliggedragzorg.nl