Introductie
Onze infrastructuur is in grote mate afhankelijk van digitale processen. IT-incidenten kunnen daarom de samenleving ontwrichten.
De verregaande digitalisering waaronder de toename van het aantal thuiswerkers, de opkomst van het Internet of Things (IoT) en cloud computing, heeft geleid tot meer (geslaagde) digitale aanvallen. AI wordt ook steeds meer ingezet door cybercriminelen en de trend is dat ze zich ook vaker richten op cloud services en mobiele apparaten.
Desondanks is er bij veel bedrijven nog weinig bewustwording (‘awareness’) op het gebied van cybersecurity. Het is (nog) niet vast onderdeel bij hoger management/bestuur.
Toename regelgeving op het gebied van cybersecurity
Cybersecurity is anno 2026 een belangrijk thema voor de EU; Europa moet digitaal weerbaar zijn (‘cyber resiliance’), ook om concurrerend te blijven ten opzichte van de VS en China.
De laatste jaren is diverse nieuwe (Europese) wetgeving geïntroduceerd op het gebied van cybersecurity. Denk hierbij aan de Cyber Resilience Act (CRA), de Cybersecurity Act, de Digital Operational Resilience Act (DORA), en de NIS2. In Nederland zal de NIS2 worden geïmplementeerd via de Cyberbeveiligingswet (Cbw).
Dit leidt tot een toename van ‘cyberverplichtingen’ voor vele bedrijven uit diverse sectoren. Ook de overheid (zoals gemeentes en provincies) krijgt te maken met extra regeldruk. Die cybersecuritywetgeving verplicht bedrijven en overheid om hun IT-systemen passend te beveiligen, significante IT-incidenten te melden en bepaalde contractuele afspraken te maken met (IT)toeleveranciers. Het bestuur moet op een en ander toezicht houden en kan aansprakelijk worden gesteld.
Men moet zich goed rekenschap geven van die nieuwe cybersecurity wetten en regels indien zich een ernstig IT-incident voordoet (bijv. cyberaanval). Inzicht in het juridische cybersecurity landschap is van essentieel belang bij ‘Incident Response’.
