NIS2-compliant worden met het Cbw (NIS2) Control Framework
Wil je voldoen aan NIS2 en de Cyberbeveiligingswet? Wij begeleiden organisaties stap voor stap NIS2-compliant met het officiële Cbw (NIS2) Control Framework van NOREA en de Auditdienst Rijk.
Wat is het Cbw (NIS2) Control Framework?
Het Cbw (NIS2) Control Framework is een praktisch normenkader, ontwikkeld door de Auditdienst Rijk en NOREA, dat organisaties helpt om gestructureerd NIS2-compliant te worden. Het NCSC verwijst ernaar als hét hulpmiddel om verbeterpunten te identificeren en stappen te zetten richting compliance. Het maakt de Cyberbeveiligingswet (Cbw) en het onderliggende Cyberbeveiligingsbesluit (Cbb) inzichtelijk, en is dankzij de modulaire opzet aan te passen aan sectorspecifieke eisen voor overheid (BIO2), financieel (DORA) en zorg (NEN 7510). Daarmee is het de meest gestructureerde route om jouw NIS2-implementatie aantoonbaar en auditbaar in te richten.
De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en treedt naar verwachting op 1 juli 2026 in werking. Vanaf dat moment gelden concrete verplichtingen en wordt cyberveiligheid een bestuurstaak, met mogelijke persoonlijke aansprakelijkheid voor bestuurders. Wij vertalen het framework naar jouw organisatie en begeleiden je door het hele traject, met slimme tooling en ervaring, zodat je sneller en zorgelozer voldoet aan NIS2.
Onze aanpak: NIS2-compliant in vier stappen
Eerst bepalen we of en hoe jouw organisatie onder de Cyberbeveiligingswet valt, als essentiële of belangrijke entiteit. Je weet daarna precies wat je verplichtingen zijn en wat de juiste scope is voor het vervolg. Twijfel je nu al of je eronder valt? Wij doen een snelle, vrijblijvende check.
We toetsen jouw huidige situatie tegen het Cbw (NIS2) Control Framework. Zo krijg je een helder overzicht van de verbeterpunten ten opzichte van de zorgplicht en een concrete roadmap naar compliance. Dit is hetzelfde normenkader dat ook een IT-auditor hanteert, dus je werkt direct aantoonbaar en auditbaar.
We vertalen de eisen naar passende technische én organisatorische maatregelen en richten de tien zorgplichtmaatregelen praktisch in. Daarbij hoort het opzetten van beleid, een werkbaar managementsysteem, een incidentresponsplan voor de meldplicht (een significant incident melden via het NCSC-portaal, met een eerste melding binnen 24 uur) en de registratie in het entiteitenregister bij het NCSC.
Met interne audits, monitoring en periodieke evaluatie via het framework zorgen we dat je blijvend voldoet en dat je dit kunt aantonen richting de toezichthouder. Zo ben je voorbereid op het toezicht dat onder de Cyberbeveiligingswet gaat gelden.
Waarom kiezen voor BOEM?
- Werken volgens het officiële framework: We gebruiken het Cbw (NIS2) Control Framework van NOREA en de Auditdienst Rijk, dezelfde basis als waarop getoetst wordt.
- Aantoonbaar: Geen losse maatregelen, maar een gestructureerde aanpak die standhoudt bij toezicht.
- Persoonlijk & praktisch: Geen standaardtrajecten, maar advies dat past bij jullie praktijk.
- Sneller compliant: Met slimme tooling doorloop je het traject efficiënter.
- Volledige begeleiding: Van NIS2-check en GAP-analyse tot borging, met een vast aanspreekpunt.
Het Cbw (NIS2) Control Framework is een praktisch normenkader, ontwikkeld door de Auditdienst Rijk en NOREA, dat organisaties helpt om gestructureerd te voldoen aan de Cyberbeveiligingswet en het onderliggende Cyberbeveiligingsbesluit. Het maakt de verplichtingen inzichtelijk, helpt verbeterpunten te identificeren en is dankzij de modulaire opzet aan te passen aan sectoren zoals overheid (BIO2), financieel (DORA) en zorg (NEN 7510).
De Cyberbeveiligingswet heeft een veel bredere scope dan de oude Wbni en raakt naar schatting duizenden organisaties in ongeveer achttien sectoren, waaronder energie, transport, zorg, overheid, digitale infrastructuur, afval en chemie. Ook toeleveranciers in deze ketens vallen er vaak onder. Of je als ‘essentieel’ of ‘belangrijk’ wordt aangemerkt, hangt af van sector en omvang. Twijfel je? BOEM doet een snelle en vrijblijvende NIS2-check.
De Tweede Kamer stemde op 15 april 2026 in met de Cyberbeveiligingswet. De wet ligt nu bij de Eerste Kamer en treedt naar verwachting op 1 juli 2026 in werking. De Rijksoverheid adviseert nadrukkelijk om niet af te wachten, want de risico’s zijn er nu al en wie op tijd begint, heeft straks rust en overzicht.
NIS2-compliance is een stapsgewijs proces: bepaal je scope, toets je huidige situatie tegen het Cbw (NIS2) Control Framework, implementeer de zorgplichtmaatregelen, beleg de meld- en registratieplicht en borg het geheel met audits en monitoring. Wij begeleiden je door alle stappen met een praktische roadmap.
De kosten hangen af van de omvang en complexiteit van je organisatie, je risicoprofiel en de maatregelen die je al hebt genomen. We brengen dit tijdens een intake helder in kaart en maken een voorstel op maat, van advies tot volledige implementatie, zodat je precies weet waar je aan toe bent.
Dat verschilt per organisatie. Met een GAP-analyse weet je snel waar je staat, waarna we een realistische roadmap opstellen. Met onze pragmatische aanpak en slimme tooling houden we de doorlooptijd zo kort en behapbaar mogelijk.
ISO 27001 is een internationale norm die je vrijwillig kunt laten certificeren, terwijl NIS2 via de Cyberbeveiligingswet straks wettelijk verplicht is voor organisaties die eronder vallen. De twee versterken elkaar: een managementsysteem volgens ISO 27001 dekt al een groot deel van de zorgplicht af. Heb je al ISO 27001, dan sta je er goed voor. Zo niet, dan richten we de implementatie zo in dat beide elkaar versterken.
Plan vandaag nog een vrijblijvende telefonische intake
We leggen je graag uit wat het framework inhoudt en wat deze voor jouw organisatie betekent, inclusief de stappen die nodig zijn voor een gestroomlijnde implementatie.
BOEM Cybersecurity als partner, verhalen uit de praktijk
Wij zijn trots op onze klanten. Lees hier meer over deze klanten en hun succesverhalen.