De druk op digitale én fysieke weerbaarheid neemt in alle sectoren toe en daarmee ook de wet- en regelgeving. Compliance is geen bijzaak, maar kernvoorwaarde voor een ‘license to operate’. 2026 is het jaar waarin organisaties aantoonbaar moeten voldoen aan tal van (nieuwe) eisen. Van NIS2 (Cbw) en CER (Wwke) tot aan ABRO, DORA en ISPS. En dat heeft impact op bestuur, bewustwording en de gehele keten. Niet op orde? Dan loopt u kans op datalekken, boetes, imagoschade, uitval van primaire bedrijfsprocessen of faillissement. Fong Djeh Tsang, compliance-officer bij Nsecure, licht de belangrijkste wetten van 2026 toe.
1. NIS2 (Cyberbeveiligingswet) en CER (Wet weerbaarheid kritieke entiteiten) voor vitale organisaties
Wat zijn de Cbw en Wwke?
Cyberaanvallen, sabotage, spionage: de weerbaarheid van Europa staat onder druk. Daarom wil de EU dat vitale organisaties hun digitale en fysieke weerbaarheid op orde brengen. Deze richtlijnen zijn vertaald naar Nederlandse wetgevingen en starten naar verwachting in Q2 2026: de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke).
- De Cbw is op basis van de NIS2-richtlijn en draait om digitale weerbaarheid, zoals netwerkbeveiliging en cybersecuritymaatregelen.
- De Wwke komt voort uit de CER-richtlijn en focust op fysieke veiligheid, zoals sabotagepreventie, continuïteit van essentiële diensten en meldstructuren bij fysieke incidenten.
Voor wie geldt de Cbw en de Wwke?
De Cbw geldt voor organisaties die vallen binnen de categorie ‘essentiële of belangrijke entiteiten’. De Wwke is voor instanties die expliciet het stempel ‘kritieke entiteit’ krijgen. De ministeries wijzen die categorieën per sector aan. Voor de Wwke is dat tot 17 juli 2026. Voor de Cbw ligt dat anders: veel organisaties behoren op basis van sector, type entiteit en omvang al tot die categorie van rechtswege.
Tsang: ‘Voor veel organisaties kan dit betekenen dat ze onder beide wetten vallen. Denk aan zorginstellingen, energiemaatschappijen, transportbedrijven, overheden en datacenters. Cbw en Wwke versterken elkaar, maar brengen ook afzonderlijke verplichtingen met zich mee.’ Lees meer in deze blog.
Fong Djeh Tsang, compliance-officer bij Nsecure: ‘Wat jarenlang gold als richtlijn of norm, wordt nu een keiharde eis.’
Actueel: We volgen het voorstel over het vereenvoudigen van NIS2 op de voet, hoewel dat niet betekent dat Nsecure voornemens is haar ambities hierop aan te passen. De voorbereidingsplicht voor organisaties vervalt hierdoor ook niet. Onze koers volgt primair de belangen van onze opdrachtgevers, zodat we in de keten toegevoegde waarde blijven leveren.
Checklist Cbw en Wwke voor 2026
- Zorgplicht: entiteiten zijn verplicht zelf een risicobeoordeling uit te voeren. Op basis daarvan nemen zij passende technische, operationele en organisatorische maatregelen ter beveiliging van netwerk- en informatiesystemen die zij gebruiken voor hun dienstverlening.
Bestuurlijke verantwoordelijkheid: voldoende kennis in de top van (digitale) dreigingen en impact. Anders volgen sancties zoals een boete of schorsing. Ook dienen zij maatregelen goed te keuren en toezicht te houden op de uitvoering. - Registratie: organisaties zijn verplicht zich te registreren via mijn.ncsc.nl.
Meldplicht: organisaties moeten significante incidenten zo snel mogelijk, in ieder geval binnen 24 uur, melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. - Continuïteit: maatregelen treffen om bij storingen en incidenten door te kunnen gaan met de dienstverlening. Voorbeelden van die maatregelen: het vinden van alternatieve toeleveringsketens en personeelsbeveiliging in kaart brengen.
Hoe Nsecure grip geeft op Cbw en Wwke
Nieuwe wetgeving vraagt meer dan beleid. Organisaties moeten risico’s kennen, maatregelen onderbouwen en processen aantoonbaar op orde hebben. Nsecure brengt daarin inzicht, controle en grip. Bijvoorbeeld met een risicoanalyse (Security Consultancy), waarbij we dreigingen en kwetsbaarheden in kaart brengen als basis voor gerichte maatregelen.
Tsang: ‘We realiseren integrale security-oplossingen: van toegangscontrole en Identity Management tot IT-security en remote diensten. Onze aanpak is altijd integraal, wij combineren security, mens, IT en compliance tot één samenhangend geheel.’
2. ABRO-beveiligingseisen 2026: eisen voor overheidsopdrachten
Wat is ABRO?
De Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO) gelden sinds 1 januari 2026 voor opdrachten met een nationaal veiligheidsbelang. Het doel: één duidelijke beveiligingsnorm bij gevoelige overheidsopdrachten en het beschermen van overheden, bedrijven en samenleving. De invoering start gefaseerd, waarbij het Rijk en de politie vooroplopen. De NBIV, een samenwerking van AIVD en MIVD, toetst opdrachtnemers. Zonder positieve uitkomst geen opdracht. De opdrachtgever bepaalt vooraf of er een Te Beschermen Belang (TBB) is. Hierbij zijn er vier categorieën, TBB 1 tot en met TBB 4, waarbij TBB 1 de zwaarst te beveiligen categorie is.
ABRO-checklist voor 2026
ABRO vraagt van opdrachtgevers onder andere dat zij:
- (Cyber)risico’s scherp inschatten en NBIV tijdig inschakelen
- De juiste beveiligingseisen opnemen in aanbesteding en contract
- Monitoren tijdens uitvoering
- Leveranciers en ketenpartijen meenemen in de eisen
- Bij veranderende risico’s opnieuw beoordelen
En opdrachtnemers moeten:
- Governance, processen en verantwoordelijkheden inrichten op het juiste niveau
- Personeel screenen en integriteit borgen
- Fysieke beveiliging, toegangsbeheer en procesmaatregelen aantoonbaar beheersen
- Keten- en leveranciersrisico’s onder controle houden
- Incidenten direct melden
Hoe Nsecure grip geeft op ABRO
Nsecure borgt dat ABRO-eisen voor organisaties doelgericht en aantoonbaar worden vertaald naar de dagelijkse praktijk. ‘Het gaat daarbij niet om het overnemen van verantwoordelijkheden, maar om het versterken van inzicht, controle en uitvoerbaarheid’, benadrukt Tsang.
‘Wij ondersteunen bij het duiden van risico’s, het concreet maken van beveiligingsvereisten in aanbestedingen en contracten, het beoordelen van organisatorische en ketengerelateerde kwetsbaarheden en het voorbereiden op het vereiste niveau van aantoonbaarheid richting toezichthouders. Daarmee brengt Nsecure governance, risicobeheersing en operationele beveiliging samen, zodat organisaties ABRO‑conform kunnen werken.’
3. DORA-implementatie 2026: eisen voor financiële instellingen
Wat is DORA?
DORA (Digital Operational Resilience Act) geldt sinds 17 januari 2025. Deze Europese verordening moet de digitale weerbaarheid van de financiële sector versterken. En dat is nodig. Banken, verzekeraars, beleggers en andere financiële organisaties verwerken grote hoeveelheden gevoelige data. Een cyberincident raakt systemen, maar ook klantvertrouwen, continuïteit, reputatie en samenleving.
DORA-checklist voor 2026
In 2026 moeten financiële instellingen aantonen dat hun maatregelen werken en dat hun IT-omgeving bestand is tegen cyberaanvallen en operationele risico’s. Er komen meer en strengere audits en toezichthouders De Nederlandsche Bank, Autoriteit Financiële Markten en Europese Centrale Bank kijken nadrukkelijk mee. DORA vraagt om:
- Stevig ICT-risicobeheer
- Duidelijke bestuurlijke verantwoordelijkheid
- Een strak proces voor incidentregistratie en -rapportage
- Inzicht in afhankelijkheden via een actueel informatieregister
- Herzien van leverancierscontracten
Hoe Nsecure grip geeft op DORA
Tsang: ‘DORA laat zien dat digitale weerbaarheid veel verder reikt dan techniek alleen. Het gaat om samenhang tussen digitale infrastructuur, processen, governance én fysieke beveiliging van kritieke omgevingen. Ook ketenpartners spelen hierbij een cruciale rol: financiële instellingen moeten kunnen aantonen dat iedere partij in de keten voldoet aan dezelfde normen voor risicobeheer, incidentrespons en continuïteit. Nsecure zorgt ervoor dat deze samenhang inzichtelijk wordt en de vereiste aantoonbaarheid richting toezichthouders structureel wordt geborgd.’
4. ISPS voor maritieme sector en havenbedrijven
Wat is ISPS?
De International Ship and Port Facility Security (ISPS) Code ziet toe op beveiligingsregels voor vracht- en passagiersschepen, mobiele offshore-locaties en havenfaciliteiten.
Voor havenbedrijven en terminals is een voorbeeld van zo’n beveiligingseis het opstellen en onderhouden van een Port Facility Security Plan (PFSP). Hierin staan; toegangscontroleprocedures, toezicht- en patrouillemaatregelen, procedures voor dreigingsniveaus, incidentrespons en communicatie met autoriteiten.
Checklist ISPS voor 2026
De ISPS-code zelf wijzigt in 2026 niet. Wel zijn er per 1 januari 2026 aanpassingen binnen andere internationale scheepvaartregels van de International Maritime Organization (IMO) van kracht. Het gaat om regels voor:
- Scheepsveiligheid uit het Safety of Life at Sea-verdrag (SOLAS)
- Regels voor milieu en vervuiling uit het Marine Pollution-verdrag (MARPOL)
- En regels voor opleiding en certificering van zeevarenden uit het Standards of Training, Certification and Watchkeeping for Seafarers-verdrag (STCW)
Die richten zich onder meer op verbeterde rapportage, aangescherpte veiligheids‑ en milieuvoorschriften en nieuwe trainingseisen voor bemanning. Hierdoor worden schepen strenger beoordeeld, wat in ISPS‑havens leidt tot intensievere inspecties en hogere administratieve druk voor havenbedrijven, terminals, offshore‑installaties en logistieke hubs. Denk aan:
- Meer verplichtingen rond meldingen, monitoring, verificatie en communicatie
- Strengere document‑ en certificaatcontroles voor personeel en contractors
- Een verwachte toename van hybride of remote audits
- Aangescherpte brand‑ en operationele veiligheidsnormen
Hoe Nsecure grip geeft op ISPS
Tsang: ‘Deze vraagstukken sluiten naadloos aan bij de domeinen waarin Nsecure actief is. Wij beschikken over een perfect passend product‑ en dienstenportfolio, bestaande uit onder meer toegangscontrole-oplossingen, Identity Management via ons YIM‑platform en onze oplossing voor truckregistratie. Dit alles wordt ondersteund door een integrale uitrol, waarbij software en hardware optimaal op elkaar aansluiten.’
Wetgevingen in 2026: van aanbeveling naar aantoonbare verplichting
Volgens Tsang markeert 2026 een duidelijke omslag. ‘Wat jarenlang gold als richtlijn of norm, wordt nu een keiharde eis. In vrijwel elke sector treedt nieuwe Europese en nationale wetgeving in werking of worden bestaande regels aangescherpt. Compliant zijn is nu een voorwaarde om te ondernemen.’ Organisaties moeten het totaalbeeld zien en dat vertalen naar hun strategie en beleid. ‘Compliance raakt nu de hele keten: van boardroom tot leveranciers.’
Compliance is niet langer een technisch of operationeel vraagstuk, maar een strategisch organisatievraagstuk dat zich uitstrekt over drie onderling verweven niveaus. Samen bepalen zij of uw organisatie daadwerkelijk aantoonbaar weerbaar is.
- Eigen bedrijfsvoering: organisaties moeten hun governance, risicomanagement en interne beheersing zó inrichten dat besluiten worden genomen op basis van actuele risico‑inzichten en aantoonbare maatregelen. Denk aan structurele pentests, scherp lifecycle‑beheer, volwassen kwetsbaarheidsmanagement en het werken volgens erkende normen zoals ISO‑kaders. Deze basis vormt de ruggengraat van alle verdere compliance‑eisen.
- Producten & diensten: digitale en fysieke oplossingen moeten ‘compliance by design’ leveren. Dat betekent: veilige standaardconfiguraties, dataminimalisatie, aantoonbaar veilig ontwikkel‑ en releasebeleid én robuuste toegangs‑ en identiteitsmaatregelen. Voor Nsecure betekent dit dat ons perfect passende product‑ en dienstenportfolio, van toegangscontrole tot Identity Management en security‑oplossingen, ontworpen en beheerd wordt met veiligheid, integriteit en aantoonbaarheid als uitgangspunt.
- De keten: weerbaarheid stopt niet bij de eigen organisatie. Nieuwe wetgeving verplicht organisaties om security‑eisen expliciet vast te leggen bij leveranciers en onderaannemers. Denk aan contractueel vastgelegde afspraken over patch‑beleid, meldplichten, toezicht, periodieke audits en integriteit van personeel. Nsecure borgt deze ketenverplichtingen onder andere via SOC 2 Type II en door klanten te ondersteunen met heldere eisen, contractuele borging en inzicht in leveranciersrisico’s.
Conclusie: 2026 is het jaar van volwassen weerbaarheid
Uw voorbereidingen zijn niet pas vandaag begonnen, maar vormen de optelsom van jaren investeren in professionaliteit, structuur en samenwerking. In 2026 komt dat allemaal samen: het is het moment waarop beleid, processen, oplossingen en contracten zichtbaar moeten bijdragen aan aantoonbare weerbaarheid. Niet vanuit druk, maar vanuit groei en professionaliteit.
Tsang: ‘Juist daar ligt de kracht van Nsecure; wet- en regelgeving vertalen naar maatregelen die niet alleen voldoen aan de norm, maar vooral werkbaar, aantoonbaar en toekomstbestendig zijn voor organisaties in uiteenlopende branches. Klopt het ontwerp, werkt het proces, is de keten geborgd, zijn incidenten tijdig gemeld en is herstel aantoonbaar? 2026 is vooral het jaar waarin organisaties laten zien dat zij hun weerbaarheid écht onder controle hebben. Dat noemen wij The Art of Control.’
Dit artikel is één van de securitytrends van 2026. Lees hier alle trends.
