Hoe de norm je helpt naar aantoonbare compliance.
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de Europese NIS2-richtlijn en stelt eisen aan de beveiliging van netwerk- en informatiesystemen. De wet is op 7 juli 2026 door de Eerste Kamer aangenomen en treedt op 15 augustus 2026 in werking. Vanaf dat moment gelden de verplichtingen voor duizenden Nederlandse organisaties.
Veel organisaties vragen zich nu af: ik moet aan de eisen voldoen, maar waar begin ik? Het goede nieuws is dat je het wiel niet opnieuw hoeft uit te vinden. Er bestaat namelijk al een internationaal erkende norm die concrete invulling geeft aan het overgrote deel van die eisen, namelijk ISO 27001. In deze blog leggen we uit hoe dat zit en welke specifieke aandachtspunten er zijn.
De Cyberbeveiligingswet en het Cyberbeveiligingsbesluit
De Cyberbeveiligingswet legt voor Nederland de zorgplicht vast, op basis van de Europese NIS2-richtlijn. De wet formuleert deze zorgplicht echter alleen op hoofdlijnen: artikel 21 verplicht tot passende maatregelen en benoemt tien categorieën (lid 3a t/m 3j). De praktische uitwerking van deze categorieën vindt plaats in het bijbehorende uitvoeringsbesluit, het Cyberbeveiligingsbesluit (Cbb). Dat besluit vormt het concrete referentiekader waartegen je ISO 27001 kunt afzetten.
Het Cyberbeveiligingsbesluit heeft het advies van de Raad van State doorlopen (27 mei 2026) en de beoogde inwerkingtreding is gelijktijdig met die van de Cyberbeveiligingswet; op 15 augustus 2026 dus. Dit besluit is echter nog niet definitief. Wij baseren ons in deze blog op de aan de Tweede Kamer gezonden versie. Mogelijk worden hierin nog wijzigingen doorgevoerd. Als daarvan sprake is, zijn deze wijzigingen naar verwachting echter zeer beperkt.
ISO 27001 als route naar Cbw-compliance
ISO 27001 is een internationaal erkende norm voor informatiebeveiligingsmanagement en bestaat feitelijk uit twee delen: de hoofdtekst (hoofdstuk 4 t/m 10), die organisaties concrete kaders biedt voor het inrichten van een managementsysteem voor informatiebeveiliging, op basis van een risicogebaseerde aanpak. Daarnaast is er Bijlage A, die 93 beheersmaatregelen omvat op het gebied van organisatorische, technische, fysieke en menselijke beveiliging (nader uitgewerkt in ISO 27002). Dit zijn precies de domeinen die ook in de Cyberbeveiligingswet centraal staan.
De overlap is daardoor substantieel; de meeste onderdelen van de Cyberbeveiligingswet worden geheel of grotendeels afgedekt door ISO 27001. Deze norm is daarnaast internationaal erkend en biedt de mogelijkheid om certificering te behalen. Daarmee is deze bij uitstek geschikt om je organisatie aantoonbaar te laten voldoen aan de Cyberbeveiligingswet.
De onderstaande tabel geeft een volledig overzicht van de samenhang tussen ISO 27001, de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit.

Van norm naar wettelijke invulling: de aandachtspunten
De implementatierichtlijnen bij de maatregelen in Bijlage A van ISO 27001 zijn vrij algemeen geformuleerd zodat ze universeel toepasbaar zijn. Er worden geen specifieke technieken of standaarden benoemd voor bijvoorbeeld encryptie of toegangsbeveiliging, om te voorkomen dat de normtekst binnen een aantal jaren is ingehaald door de techniek. Ditzelfde geldt grotendeels voor de eisen van de Cyberbeveiligingswet. Dit biedt ruimte voor een invulling die aansluit op de praktijk en het dreigings- en risicolandschap van de organisatie.
Op een aantal punten stelt de wet echter wél concrete eisen waarmee je bij de implementatie van de hieraan gerelateerde beheermaatregelen uit Bijlage A van ISO 27001 rekening moet houden. Deze zijn in de tabel hierboven aangeduid met een *. Dit betreft:
1. Meldtermijnen bij incidenten
De Cyberbeveiligingswet eist dat significante incidenten binnen 24 uur worden gemeld bij het voor de betreffende sector aangewezen CSIRT (Computer Security Incident Response Team) en de bevoegde autoriteit, gevolgd door een gedetailleerde melding binnen 72 uur en een eindrapportage binnen een maand. Voor de meeste entiteiten is het NCSC (Nationaal Cyber Security Centrum) het CSIRT, maar voor bepaalde sectoren geldt een eigen aanwijzing. Deze wettelijke termijnen veranker je in het incidentmanagementproces dat je inricht op basis van de beheersmaatregelen A.5.24 tot en met A.5.28 (planning, beoordeling, respons en lering) van ISO 27001. Deze beheersmaatregelen geven je handvatten voor het proces; de Cyberbeveiligingswet vult de termijnen, de externe meldplicht en de benoemde verantwoordelijken concreet in.
2. Bestuurlijke aansprakelijkheid
Artikel 24 Cbw legt de verantwoordelijkheid voor naleving van de zorgplicht nadrukkelijk bij het bestuur: bestuursleden zijn persoonlijk aansprakelijk en moeten aantoonbaar betrokken zijn bij de goedkeuring van de cyberbeveiligingsmaatregelen. ISO 27001 biedt hiervoor het fundament met de eis van directiebetrokkenheid (paragraaf 5.1) en een vastgesteld beleid (paragraaf 5.2), ondersteund door beheersmaatregelen A.5.1 en A.5.2 (informatiebeveiligingsbeleid en rollen en verantwoordelijkheden). Wat je daar wettelijk aan toevoegt, is de individuele bestuurdersverantwoordelijkheid: leg de goedkeuring vast in een expliciet besluitvormingsdocument, ondertekend door de individuele bestuurders.
3. Verplichte opleiding bestuursleden
Artikel 24 Cbw verplicht daarnaast tot aantoonbare kennis en vaardigheden bij individuele bestuursleden, zodat zij cyberrisico’s kunnen identificeren en beoordelen. ISO 27001 biedt met A.6.3 (bewustzijn, opleiding en training op het gebied van informatiebeveiliging) de handvatten om opleiding te organiseren en te registreren. De Cyberbeveiligingswet vult die maatregel specifiek in op bestuursniveau: zorg dat elk bestuurslid aantoonbaar een passende training heeft gevolgd, gedocumenteerd met een certificaat.
4. Registratieplicht
Artikel 47 Cbw verplicht organisaties die onder de wet vallen zich te registreren als essentiële of belangrijke entiteit. Deze registratie is per 15 augustus 2026 verplicht en vindt plaats bij het NCSC via mijn.ncsc.nl. Zowel netwerk- als organisatiegegevens worden uitgevraagd, waardoor input vanuit meerdere organisatieonderdelen nodig kan zijn (CISO, netwerkbeheerder, bestuurder). ISO 27001 raakt hier aan beheersmaatregel A.5.5 (contact met overheidsinstanties): die maatregel vraagt je om het contact met relevante autoriteiten, in dit geval dus het NCSC, gestructureerd te onderhouden. De registratie zelf vereist eHerkenning; het NCSC heeft een checklist gepubliceerd waarmee je binnen enkele minuten klaar bent.
Certificering helpt om aantoonbaar te voldoen aan de Cyberbeveiligingswet
Certificering speelt zowel op Europees als op nationaal niveau een rol. NIS2 verwijst in artikel 24 expliciet naar de mogelijkheid van certificeringsmechanismen als middel om compliance aan te tonen. De Cyberbeveiligingswet neemt die bepaling niet één-op-één over, maar erkent certificering wel: de wet bepaalt dat de bevoegde autoriteit bij handhaving rekening houdt met de naleving van goedgekeurde certificeringsmechanismen (artikel 69 Cbw).
Een geldig ISO 27001-certificaat, afgegeven door een geaccrediteerde certificerende instelling op basis van een onafhankelijke audit, is daarmee geen vrijwaring, maar wel een factor die in jouw voordeel meeweegt. Daarnaast onderbouwt het op een breed erkende manier dat de organisatie een belangrijk deel van de passende maatregelen heeft genomen in de zin van artikel 21 Cbw (dat artikel 21 NIS2 implementeert).
Dit is met name van belang voor leveranciersbeveiliging en ketenaansprakelijkheid. Entiteiten die onder de Cyberbeveiligingswet vallen zijn verplicht beveiligingseisen te stellen aan hun directe leveranciers. In de praktijk leidt dit tot een toenemende stroom van vragenlijsten richting de keten. Een ISO 27001-certificaat biedt hier een werkbaar alternatief: het geeft afnemers een onafhankelijk en periodiek getoetst oordeel over de beveiligingsvolwassenheid van een leverancier, zonder bilaterale audits of omvangrijke vragenlijsten.
Daarmee is certificering geen vrijwaring. Een afnemer die onder de Cyberbeveiligingswet valt, blijft verantwoordelijk voor het beoordelen van risico’s in zijn keten en mag zich niet uitsluitend op een certificaat baseren. Maar als onderdeel van een onderbouwde leveranciersbeoordeling is ISO 27001-certificering een sterk en breed erkend signaal.
Tijd voor actie
Met de inwerkingtreding op 15 augustus 2026 is de tijd om te handelen kort. Voor organisaties die nog niet gecertificeerd zijn maar wel stappen willen zetten, is een gap-analyse een logisch startpunt: waar staat de organisatie ten opzichte van de wettelijke eisen, welke maatregelen zijn al aanwezig, en wat ontbreekt nog? Die analyse vormt de basis voor een implementatietraject dat tegelijk richting ISO 27001-certificering én compliance met de Cyberbeveiligingswet leidt.
Heb je vragen over de betekenis van de Cyberbeveiligingswet voor jouw organisatie, of wil je weten hoe een ISO 27001-traject eruitziet in de praktijk? Neem dan contact op!



