Ga naar content
Wij zijn de #1 Microsoft partner
#1 Microsoft partner van NL
Console Trainingen Werken bij

Kun je aantonen dat jouw partners hun security op orde hebben?

Op 15 augustus 2026 treedt de Cyberbeveiligingswet in werking. Vanaf dat moment worden de eisen aan digitale veiligheid en weerbaarheid, bestuurlijke verantwoordelijkheid, incidentmelding en ketenrisico’s concreter voor organisaties die onder de wet vallen. De wet stelt niet alleen eisen aan de digitale veiligheid en weerbaarheid van je eigen organisatie. Ook de veiligheid en bedrijfscontinuïteit van partners en leveranciers in je digitale keten worden belangrijker.

Je moet als organisatie inzicht hebben in de risico’s die ontstaan door afhankelijkheden in die keten. Daarnaast moet je steeds beter kunnen onderbouwen dat belangrijke leveranciers hun informatieveiligheid, bedrijfscontinuïteit en incidentrespons op orde hebben.

Dat roept een logische vraag op: wat mag je op dit gebied van Wortell verwachten?

Wortell heeft de afgelopen jaren gericht geïnvesteerd in digitale veiligheid en weerbaarheid en in de verdere professionalisering van governance, risk en compliance. Veel van de maatregelen die de Cyberbeveiligingswet vraagt, waren daardoor al onderdeel van onze dagelijkse werkwijze. De nieuwe wetgeving legt vooral extra nadruk op het structureel vastleggen, toetsen en aantoonbaar maken daarvan.

In dit blog nemen we je mee in de manier waarop Wortell zich voorbereidt op de Cyberbeveiligingswet en hoe we omgaan met onze verantwoordelijkheid als partner en leverancier in de keten.

Waarom leveranciersbeveiliging zo belangrijk wordt

Organisaties werken steeds vaker binnen een digitaal ecosysteem van IT-dienstverleners, cloudplatformen, softwareleveranciers en andere gespecialiseerde partners. Die samenwerking biedt veel voordelen, maar vraagt ook om duidelijke afspraken over informatieveiligheid, bedrijfscontinuïteit en verantwoordelijkheden.

De Cyberbeveiligingswet legt daarom meer nadruk op inzicht in de volledige keten. Organisaties moeten weten welke partijen een belangrijke rol spelen in hun dienstverlening, welke afhankelijkheden daarbij ontstaan en hoe risico’s gezamenlijk worden beheerst.

De Cyberbeveiligingswet vraagt organisaties daarom om verder te kijken dan hun eigen omgeving. Risico’s in de toeleveringsketen moeten worden meegenomen in de bredere risicoanalyse en waar nodig worden beperkt. Dat betekent niet dat je ieder technisch detail van iedere leverancier zelf hoeft te controleren. Je moet wel kunnen uitleggen hoe je leveranciers selecteert, welke eisen je aan hen stelt en hoe je vaststelt dat belangrijke maatregelen daadwerkelijk worden uitgevoerd. Certificeringen, auditrapportages, afspraken over incidenten en bedrijfscontinuïteit en periodieke beoordelingen kunnen daarbij helpen.

Wortell valt zelf onder de Cyberbeveiligingswet

Wortell kwalificeert als organisatie waarop de verplichtingen uit de Cyberbeveiligingswet van toepassing zijn. We moeten dus niet alleen onze klanten helpen met digitale veiligheid en weerbaarheid, maar ook zelf aantoonbaar voldoen aan de eisen die de wet stelt. De voorbereidingen hierop zijn opgenomen in ons Integrated Management System, kortweg IMS. Binnen dit systeem brengen we wet- en regelgeving, normenkaders, risico’s, beheersmaatregelen en verbeteracties bij elkaar.

Hierdoor behandelen we de Cyberbeveiligingswet niet als een los project met een eenmalige deadline. De vereisten zijn onderdeel van onze bestaande processen voor governance, informatieveiligheid, bedrijfscontinuïteit, risicomanagement en compliance. Voor klanten betekent dit dat de maatregelen niet alleen in beleidsdocumenten worden beschreven. Ze worden ook structureel getoetst, gemonitord en waar nodig verbeterd.

Aantoonbare governance en risicobeheersing

De Cyberbeveiligingswet vraagt nadrukkelijk aandacht voor bestuurlijke verantwoordelijkheid en risicobeheersing. Binnen Wortell hebben we daarom onze compliance- en auditfunctie verder versterkt. De Wortell Assurance Controls, onze interne beheersmaatregelen, zijn gekoppeld aan relevante normen en wettelijke kaders. Denk aan ISO 27001, NEN 7510, SOC 2-TSP, NIS2 en de Nederlandse Cyberbeveiligingswet. Risicoanalyses, interne audits, managementreviews en verbetermaatregelen worden binnen het IMS vastgelegd en opgevolgd. Hiermee controleren we niet alleen of processen zijn ingericht, maar ook of ze in de praktijk werken.

Voor klanten biedt dat meer inzicht in de manier waarop Wortell risico’s beheerst. Het helpt bovendien bij vragen vanuit interne auditors, klanten, ketenpartners of toezichthouders over de betrouwbaarheid van belangrijke leveranciers.

Bedrijfscontinuïteit van kritieke dienstverlening

Een cyberincident kan niet alleen gevolgen hebben voor de vertrouwelijkheid en integriteit van informatie. Ook de beschikbaarheid van dienstverlening kan onder druk komen te staan. Daarom is business continuity een belangrijk onderdeel van onze voorbereiding op de Cyberbeveiligingswet.

Wortell heeft een volledig Business Continuity Management System ingericht, dat is geïntegreerd binnen het IMS en gecertificeerd volgens ISO 22301. Deze internationale norm richt zich op het voorbereiden van organisaties op verstoringen en het waarborgen van de bedrijfscontinuïteit van kritieke processen. Binnen het Business Continuity Management System zijn onder andere risicoanalyses, business impact analyses, calamiteitenprocedures en herstelplannen vastgelegd. We brengen in kaart welke processen en diensten kritisch zijn, welke afhankelijkheden daarbij een rol spelen en welke stappen nodig zijn om de dienstverlening bij een verstoring te herstellen.

Voor klanten betekent dit dat bedrijfscontinuïteit niet alleen afhankelijk is van ad-hocbeslissingen op het moment dat er iets misgaat. De verantwoordelijkheden, procedures en herstelstappen zijn vooraf doordacht en vastgelegd. 

Voorbereid op significante beveiligingsincidenten

De Cyberbeveiligingswet introduceert duidelijke meldverplichtingen voor significante incidenten. Daarvoor moet een organisatie in staat zijn om incidenten snel te herkennen, te beoordelen en intern te escaleren.

Binnen Wortell zijn procedures ingericht voor de behandeling van significante beveiligingsincidenten. Deze procedures beschrijven onder andere hoe een mogelijk incident wordt gedetecteerd en beoordeeld, wie verantwoordelijk is voor escalatie en besluitvorming en hoe de impact op klanten en dienstverlening wordt vastgesteld. Ook is vastgelegd wanneer klanten en andere betrokken partijen worden geïnformeerd en wanneer een melding aan een bevoegde instantie vereist is.

Deze stappen sluiten aan op onze bredere processen voor incidentmanagement en business continuity. Een belangrijk uitgangspunt is dat communicatie tijdens een incident niet losstaat van de technische respons. Klanten moeten tijdig weten wanneer een situatie mogelijk gevolgen heeft voor hun organisatie, zodat zij ook hun eigen crisis- en meldprocessen in gang kunnen zetten.

Informatieveiligheid in de dagelijkse praktijk

De technische en organisatorische beveiligingsmaatregelen van Wortell zijn gebaseerd op internationaal erkende normen en assurancekaders, waaronder ISO 27001, NEN 7510 en SOC 2-TSP. Deze maatregelen richten zich onder andere op logging, monitoring en detectie van afwijkend gedrag. Ook besteden we aandacht aan zorgvuldig toegangsbeheer op basis van het least privilege-principe.

Medewerkers krijgen alleen toegang tot informatie en systemen die zij nodig hebben voor hun werkzaamheden. Voor verhoogde en beheerdersrechten maken we gebruik van aanvullende controles, waaronder Privileged Identity Management.

Daarnaast zijn processen ingericht voor wijzigingsbeheer, kwetsbaarheden en incidentmanagement. Met compliance monitoring en periodieke bewijsvoering leggen we vast dat beveiligingsmaatregelen niet alleen zijn beschreven, maar ook daadwerkelijk worden uitgevoerd en gecontroleerd. De uitkomsten gebruiken we om maatregelen waar nodig verder te verbeteren.

Beveiliging van onze eigen leveranciersketen

Als IT-partner zijn ook wij afhankelijk van leveranciers. Denk aan technologiepartners, softwareleveranciers, hostingpartijen en andere dienstverleners die betrokken zijn bij onze bedrijfsvoering of klantdienstverlening.

De Cyberbeveiligingswet vraagt daarom niet alleen dat we onze eigen organisatie beveiligen. We moeten ook zicht hebben op risico’s verderop in de keten.

Wortell beoordeelt leveranciers op relevante onderwerpen zoals informatieveiligheid, privacy en business continuity. Daarbij kijken we onder meer naar de aard van de dienstverlening, de toegang tot gegevens en systemen, de mogelijke impact van uitval en de aanwezigheid van passende beheersmaatregelen.

Risico’s en afhankelijkheden worden geïdentificeerd en geclassificeerd. Hoe kritischer de leverancier of dienstverlening, hoe zwaarder de beoordeling en monitoring kan zijn. Hiermee beperken we het risico dat kwetsbaarheden bij een externe partij ongemerkt invloed krijgen op onze eigen dienstverlening en daarmee op de organisaties van onze klanten.

Medewerkers en management blijven onderdeel van de aanpak

Digitale veiligheid en weerbaarheid zijn nooit uitsluitend technische onderwerpen. Veel beveiligingsincidenten hebben te maken met menselijk handelen, onduidelijke verantwoordelijkheden of het niet tijdig herkennen van een dreiging.

Daarom investeert Wortell structureel in security awareness en opleiding. Medewerkers volgen periodiek trainingen over informatieveiligheid, privacy en compliance. Daarbij besteden we aandacht aan actuele cyberdreigingen, veilig werken, het melden van verdachte situaties en de stappen die nodig zijn bij een incident.

Ook management en bestuur hebben hierin een verantwoordelijkheid. De Cyberbeveiligingswet maakt digitale veiligheid en weerbaarheid nadrukkelijk tot bestuurlijke onderwerpen. Besluitvormers moeten voldoende kennis hebben om risico’s te begrijpen, maatregelen te beoordelen en verantwoordelijkheid te nemen voor de gemaakte keuzes.

Van maatregelen naar aantoonbare beheersing

Voor veel organisaties is de grootste verandering niet dat informatieveiligheid en bedrijfscontinuïteit opeens belangrijk worden. Dat waren ze al. De verandering zit vooral in de mate waarin je moet kunnen laten zien dat maatregelen structureel zijn ingericht en daadwerkelijk functioneren.

Een beleidsdocument, een certificaat of een technische oplossing kan onderdeel zijn van die onderbouwing, maar is op zichzelf niet voldoende. Het gaat om het geheel van risicoanalyses, processen, verantwoordelijkheden, controles, trainingen, audits en verbeteracties.

Daarom zien we de Cyberbeveiligingswet niet als een checklist die op een bepaald moment kan worden afgerond. Het is een doorlopend proces waarin nieuwe dreigingen, veranderingen in de organisatie en ontwikkelingen binnen de keten steeds opnieuw moeten worden meegenomen.

Wat betekent onze aanpak voor jou als klant?

Als klant wil je erop kunnen vertrouwen dat een belangrijke partner zorgvuldig omgaat met jouw gegevens, systemen en dienstverlening. Onder de Cyberbeveiligingswet wordt het daarnaast belangrijker om dat vertrouwen ook te kunnen onderbouwen. Onze aanpak helpt daarbij op verschillende manieren.

Door te werken vanuit erkende normen en gecertificeerde managementsystemen ontstaat een controleerbare basis. Door maatregelen structureel te toetsen en vast te leggen, kunnen we inzicht geven in de manier waarop risico’s worden beheerst.

Onze processen voor business continuity en incidentrespons ondersteunen daarnaast de bedrijfscontinuïteit en tijdige communicatie wanneer een incident gevolgen kan hebben voor klanten.

Ook kijken we verder dan onze eigen organisatie. Door risico’s bij onze leveranciers te beoordelen, nemen we verantwoordelijkheid voor het deel van de keten waarop wij invloed hebben.

Dit neemt jouw eigen verantwoordelijkheid onder de Cyberbeveiligingswet niet over. Het helpt je wel om je leveranciers- en ketenrisico’s beter te onderbouwen.

Aantoonbaar voorbereid als partner in de keten

Met deze combinatie van governance, gecertificeerd continuïteitsmanagement, informatieveiligheid, leveranciersmanagement en structurele opleiding werkt Wortell aan aantoonbare digitale veiligheid en weerbaarheid.

Daarmee borgen we niet alleen onze eigen voorbereiding op de Cyberbeveiligingswet, maar vooral de bedrijfscontinuïteit, veiligheid en betrouwbaarheid van onze dienstverlening aan klanten en ketenpartners.

FAQ

Veelgestelde vragen

Benieuwd waar andere organisaties tegenaan lopen en welke vragen zij hierover stellen?

Wat kun je zelf al regelen vóór 15 augustus 2026?

Omdat de wet op 15 augustus 2026 in werking treedt, is het belangrijk om nu te controleren welke verplichtingen voor jouw organisatie gelden en welke onderdelen nog aandacht nodig hebben. In ons praktische stappenplan lees je wat je vóór die datum kunt regelen, van registratie en risicoanalyse tot incidentrespons en ketenverantwoordelijkheid.

Bekijk het praktische stappenplan voor de Cyberbeveiligingswet

Weet je ook of jouw crisisaanpak in de praktijk werkt?

Beleid, procedures en verantwoordelijkheden op papier vormen een belangrijke basis. De Cyberbeveiligingswet vraagt organisaties echter ook om aantoonbaar voorbereid te zijn op significante cyberincidenten.

Met een Cybersecurity Tabletop toets je aan de hand van een realistisch scenario hoe besluitvorming, escalatie, communicatie en samenwerking binnen jouw organisatie verlopen. Zo wordt zichtbaar of de crisisorganisatie in de praktijk functioneert en waar nog verbeterpunten liggen. Tegelijkertijd geeft de oefening bestuur en management inzicht in risico’s en helpt deze om invulling te geven aan de toenemende verantwoordingsplicht. Daarom stellen we onze Cybersecurity Tabletop tijdelijk gratis beschikbaar.

Vraag de gratis Cybersecurity Tabletop aan

Veelgestelde vragen over Wortell en de Cyberbeveiligingswet


Wanneer treedt de Cyberbeveiligingswet in werking?

De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking. Vanaf dat moment gelden de wettelijke verplichtingen voor organisaties die onder de wet vallen, waaronder eisen rond risicobeheersing, incidentmelding, bestuurlijke verantwoordelijkheid en beveiliging van de toeleveringsketen.

Valt Wortell zelf onder de Cyberbeveiligingswet?

Ja. Wortell kwalificeert als organisatie waarop de verplichtingen uit de Cyberbeveiligingswet van toepassing zijn. De eisen uit de wet zijn daarom opgenomen in ons Integrated Management System en worden structureel gekoppeld aan onze processen voor governance, informatieveiligheid, risicomanagement en bedrijfscontinuïteit.

Welke certificeringen en assurance-rapportages heeft Wortell voor informatieveiligheid en bedrijfscontinuïteit?

Wortell werkt met gecertificeerde managementsystemen en relevante assurance- en normenkaders, waaronder ISO 27001 voor informatieveiligheid, NEN 7510 voor informatieveiligheid in de zorg, SOC 2-TSP en ISO 22301 voor Business Continuity Management.

Certificeringen vormen een belangrijk onderdeel van onze aantoonbare beheersing, samen met risicoanalyses, audits, controles en verbetermaatregelen.

Hoe helpt Wortell klanten bij hun ketenverantwoordelijkheid?

Wortell kan inzicht geven in de manier waarop informatieveiligheid, bedrijfscontinuïteit, incidentmanagement en leveranciersrisico’s binnen de organisatie worden beheerst.

Hiermee kunnen klanten beter onderbouwen dat zij samenwerken met een partner die passende maatregelen heeft ingericht. Klanten blijven zelf verantwoordelijk voor hun totale leveranciersbeoordeling en risicoanalyse.

Hoe gaat Wortell om met beveiligingsincidenten?

Wortell heeft procedures ingericht voor detectie, beoordeling, escalatie, communicatie en opvolging van beveiligingsincidenten.

Bij een significant incident wordt ook beoordeeld of klanten of bevoegde instanties moeten worden geïnformeerd. Deze processen zijn gekoppeld aan ons incidentmanagement en Business Continuity Management System.

Hoe borgt Wortell de bedrijfscontinuïteit?

Binnen ons gecertificeerde Business Continuity Management System zijn onder andere business impact analyses, calamiteitenprocedures en herstelplannen vastgelegd.

Hiermee brengen we kritieke processen, afhankelijkheden en herstelstappen in kaart en bereiden we ons voor op situaties waarin de normale dienstverlening wordt verstoord.

Beoordeelt Wortell ook de beveiliging van eigen leveranciers?

Ja. Leveranciers worden afhankelijk van hun rol en risico beoordeeld op onderwerpen zoals informatieveiligheid, privacy en business continuity.

Kritieke afhankelijkheden en risico’s worden geïdentificeerd, geclassificeerd en gemonitord. Daarmee kijken we niet alleen naar onze eigen organisatie, maar ook naar risico’s verderop in de keten.

Is voldoen aan ISO 27001 voldoende voor de Cyberbeveiligingswet?

ISO 27001 biedt een sterke basis voor informatieveiligheid, maar een certificering betekent niet automatisch dat aan alle verplichtingen uit de Cyberbeveiligingswet wordt voldaan.

De wet bevat ook vereisten rond bestuurlijke verantwoordelijkheid, incidentmeldingen, bedrijfscontinuïteit, ketenrisico’s en opleiding.

Waarom is een Cybersecurity Tabletop relevant voor de Cyberbeveiligingswet?

Een Tabletop maakt zichtbaar of een crisisorganisatie in de praktijk functioneert. Tijdens een incidentscenario worden rollen, besluitvorming, communicatie, escalatie en samenwerking getest.

De uitkomsten geven bestuur en management inzicht in risico’s en verbeterpunten en helpen om aantoonbaar te maken dat de organisatie zich voorbereidt op significante cyberincidenten.

Waar kan ik lezen wat mijn organisatie vóór 15 augustus 2026 moet regelen?

In ons praktische stappenplan vind je de belangrijkste voorbereidingen voor de Cyberbeveiligingswet. Het stappenplan behandelt onder andere registratie, risicoanalyse, incidentmeldingen, bestuurlijke verantwoordelijkheid en ketenrisico’s.

Bekijk het stappenplan voor de Cyberbeveiligingswet

Hoe kan ik toetsen of onze crisisorganisatie goed is voorbereid?

Met een Cybersecurity Tabletop doorloop je samen met betrokken besluitvormers een realistisch cyberincident. Hiermee toets je rollen, besluitvorming, escalatie en communicatie en krijg je concrete verbeterpunten voor jouw crisisaanpak.

Wortell stelt deze Cybersecurity Tabletop tijdelijk gratis beschikbaar.

Vraag de gratis Cybersecurity Tabletop aan

Vragen over de Cyberbeveiligingswet?

Wil je weten wat de Cyberbeveiligingswet betekent voor jouw organisatie, leveranciersketen of huidige securityaanpak? Laat je vraag achter via het formulier. Een van onze specialisten neemt contact met je op.
Onze auteur

Gitte Thijssen

Gitte Thijssen is Campaign Marketeer bij Wortell. Vanuit deze rol vertaalt zij complexe thema’s rondom cloud, security en AI naar heldere campagnes en content die organisaties helpen richting te geven aan hun digitale en AI-gedreven transformatie.

Gitte werkt nauw samen met specialisten en klanten om strategische proposities te verbinden aan relevante verhalen. Met oog voor doelgroep, timing en impact zorgt zij ervoor dat inzichten over AI, organisatieontwerp en technologie niet alleen worden gedeeld, maar ook daadwerkelijk landen bij besluitvormers. Haar focus ligt op het creëren van campagnes die informeren, inspireren en organisaties helpen om weloverwogen stappen te zetten richting een toekomstbestendige IT- en AI-strategie.