Van IT‑wet naar dagelijkse praktijk op de werkvloer

Het is maandagochtend, iets na half acht. De eerste medewerkers komen binnen via de zij ingang. De receptie is nog niet volledig bezet. Een externe monteur loopt mee naar binnen. Zijn pas ligt nog in de auto. “Ik ben zo weer weg,” zegt hij. Niemand zegt er iets van. Niet uit onwil, maar uit routine. Juist dit soort alledaagse situaties laat zien waar de Cyberbeveiligingswet in de praktijk over gaat.

Beveiliging draait allang niet meer alleen om techniek, systemen of IT maatregelen. Het gaat ook om fysieke toegang, menselijk gedrag en dagelijkse routines op de werkvloer. Dat is voor ons geen nieuw inzicht. Eerder schreven wij al over cyberveiligheid onder NIS2 en waarom juist nú starten met maatregelen cruciaal is. Daarin werd al duidelijk dat digitale risico’s vaak beginnen bij fysieke beveiliging en menselijk handelen. De Cyberbeveiligingswet bouwt hier logisch op voort en maakt deze samenhang nu expliciet en wettelijk toetsbaar.

Tot voor kort waren dit soort situaties vooral aandachtspunten. Met de Cyberbeveiligingswet worden ze risico’s die een organisatie moet kunnen uitleggen, onderbouwen en verantwoorden. Op 15 april 2026 stemde de Tweede Kamer in met de Cyberbeveiligingswet. Een wet die door veel organisaties nog steeds wordt gezien als een technisch IT dossier. Begrijpelijk, gezien de naam. Maar wie verder kijkt, ziet dat de impact veel breder is. De Cyberbeveiligingswet raakt niet alleen systemen en netwerken, maar ook mensen, gebouwen en fysieke toegang. Voor bedrijven betekent dit dat beveiliging niet langer vrijblijvend is, maar aantoonbaar passend moet zijn ingericht.

Wat de Cyberbeveiligingswet beoogt

De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2 richtlijn. Het doel is het vergroten van de weerbaarheid van organisaties die een belangrijke rol spelen in het functioneren van de samenleving. Het gaat daarbij niet alleen om het voorkomen van cyberaanvallen, maar om het beperken van verstoringen in de breedste zin van het woord.
Uitval, verlies van continuïteit of het tijdelijk niet kunnen leveren van diensten hebben zelden één oorzaak. In de praktijk gaat het vaak om een combinatie van techniek, organisatie en menselijk handelen. Een organisatie kan haar IT technisch uitstekend hebben ingericht en toch kwetsbaar zijn doordat toegang tot kritieke ruimtes onvoldoende is geregeld of verantwoordelijkheden onduidelijk zijn. De Cyberbeveiligingswet erkent deze realiteit. Beveiliging werkt alleen wanneer digitale en fysieke maatregelen elkaar versterken en niet los van elkaar worden georganiseerd.

Waarom “cyber” niet stopt bij IT

Een hardnekkige misvatting is dat de Cyberbeveiligingswet uitsluitend over IT gaat. Over software, netwerken en monitoring. Dat beeld is begrijpelijk, maar onvolledig.

In de wet wordt expliciet gesproken over een zorgplicht voor het beschermen van netwerk‑ en informatiesystemen, inclusief de fysieke omgeving waarin deze systemen zich bevinden. Dat ene zinnetje maakt in de praktijk een groot verschil.

Het betekent dat ook de inrichting van gebouwen, de manier waarop toegang wordt verleend, toezicht wordt gehouden en afwijkingen worden opgevolgd onder de Cyberbeveiligingswet vallen. Een digitaal systeem kan nog zo goed zijn beveiligd; als iemand zonder controle fysiek bij dat systeem kan komen, blijft het kwetsbaar.

Fysieke beveiliging krijgt juridische betekenis

De kern van de Cyberbeveiligingswet is weerbaarheid. Niet pas reageren wanneer het misgaat, maar risico’s vooraf herkennen en beheersen. Daarmee krijgt fysieke beveiliging een juridische betekenis die zij eerder niet had.

Vragen die binnen beveiliging al jaren worden gesteld, krijgen nu een andere status. Wie heeft fysiek toegang tot kritieke systemen? Is die toegang noodzakelijk en actueel? Wordt afwijkend gedrag herkend? En is vastgelegd wanneer iets een incident is en wie daarover beslist?

Wat eerder interne aandachtspunten waren, worden nu formele toetsingspunten. Niet alleen voor audits, maar ook voor toezicht en mogelijke handhaving.

De zorgplicht: passend en uitlegbaar

Organisaties die onder de Cyberbeveiligingswet vallen, krijgen te maken met een wettelijke zorgplicht. Die zorgplicht schrijft niet exact voor welke maatregelen genomen moeten worden. Wel dat maatregelen passend moeten zijn bij de risico’s van de organisatie.

In veel organisaties is fysieke toegang historisch gegroeid. Medewerkers die ooit een sleutel kregen en die nooit hebben ingeleverd. Passen die na functiewijzigingen zijn blijven werken. Ruimtes die door meerdere afdelingen worden gebruikt omdat dat praktisch was.

Onder de Cyberbeveiligingswet moet een organisatie kunnen uitleggen waarom iemand toegang heeft tot een bepaalde ruimte, wie dat heeft bepaald en hoe dit wordt gecontroleerd. Niet alles hoeft dicht. Maar alles moet uitlegbaar zijn.

Menselijk gedrag blijft doorslaggevend

Geen enkele maatregel werkt zonder mensen die begrijpen wat er van hen wordt verwacht. Beveiliging blijft mensenwerk.

De Cyberbeveiligingswet vraagt expliciet aandacht voor training en bewustwording. Niet alleen bij beveiligers, maar bij iedereen die in de dagelijkse praktijk te maken heeft met toegang, bezoekers of leveranciers. Juist daar ontstaan vaak kwetsbaarheden.

Een open deur is zelden het gevolg van slechte techniek. Vaker is het een gevolg van routine, aannames of tijdsdruk.

Wanneer een fysiek incident digitale gevolgen krijgt

Stel uzelf deze vraag: Kan ik aantonen wie er vanochtend allemaal in de technische ruimtes is geweest? Niet wie er volgens de regels naar binnen mocht, maar wie er daadwerkelijk is geweest.

Ga terug naar de situatie aan het begin van dit artikel. De monteur die even meeloopt omdat zijn pas nog in de auto ligt. Niemand die hem tegenhoudt. Geen kwaad opzet, geen alarmsignalen. Gewoon routine. Precies zoals het dagelijks in veel organisaties gebeurt.

Op het moment dat die monteur verder loopt dan bedoeld, bijvoorbeeld een technische ruimte in waar netwerkapparatuur of servers staan, ontstaat er een probleem. Misschien raakt hij niets aan. Misschien blijft alles werken. Maar achteraf is niet meer vast te stellen wie er precies is geweest, wat er is bekeken of aangeraakt en of de omgeving nog volledig betrouwbaar is. De integriteit van die systemen staat daarmee ter discussie.

Dat is precies waarom de Cyberbeveiligingswet verder kijkt dan IT alleen. Een fysiek incident hoeft geen zichtbare schade te veroorzaken om toch impact te hebben. Het enkele feit dat onbevoegden toegang hebben gehad tot kritieke systemen kan al gevolgen hebben voor de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid van informatie.

De Cyberbeveiligingswet vraagt daarom dat organisaties dit soort situaties vooraf doordenken. Niet alleen technisch, maar ook organisatorisch en fysiek. Wie mag waar komen? Wie houdt toezicht? En wanneer wordt iets aangemerkt als een incident?

Daarbij hoort ook de meldplicht. Significante incidenten moeten binnen 24 uur worden gemeld, ongeacht of de oorzaak digitaal of fysiek is. Een situatie die begint bij een open deur of een goedbedoelde inschattingsfout op de werkvloer, kan daarmee ineens een formele verplichting worden.

Bestuurders kunnen niet meer op afstand blijven

De Cyberbeveiligingswet maakt beveiliging expliciet ook een bestuurlijke verantwoordelijkheid. Bestuurders moeten beveiligingsmaatregelen goedkeuren en beschikken over voldoende kennis om risico’s te kunnen beoordelen.

Beveiliging verschuift daarmee van uitvoering naar de bestuurskamer. Het gaat niet alleen om kosten, maar om continuïteit, aansprakelijkheid en vertrouwen.

Van wet naar werkbare praktijk

Waarom een solide fysieke basis het verschil maakt

De Cyberbeveiligingswet maakt duidelijk dat beveiliging niet ophoudt bij software en systemen. Organisaties die hun fysieke beveiliging serieus nemen, vergroten hun weerbaarheid en verkleinen de kans dat wettelijke verplichtingen straks tot problemen leiden.

Fysieke beveiliging draait om aanwezigheid, alertheid en reageren. Om mensen die zien wat er gebeurt en weten wanneer handelen nodig is. Dat is geen nieuw verhaal, maar krijgt door deze wet wel een andere lading.

Dit artikel is een algemene duiding van de Cyberbeveiligingswet zoals aangenomen door de Tweede Kamer op 15 april 2026. Voor specifieke juridische classificatie adviseren wij altijd de officiële handreikingen van de Rijksoverheid te raadplegen.

Wilt u weten of uw fysieke beveiliging aansluit bij wat de Cyberbeveiligingswet van uw organisatie vraagt?
Dan is een nuchtere, praktijkgerichte beoordeling een logische eerste stap.

Veelgestelde vragen over cyberbeveiligingswet

De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2‑richtlijn en stelt eisen aan digitale én fysieke beveiliging.

Voor bedrijven en organisaties in vitale en belangrijke sectoren, zoals energie, zorg, transport en digitale infrastructuur

Ja. De wet verplicht organisaties om ook gebouwen, toegangscontrole en toezicht rondom informatiesystemen te beveiligen.

Organisaties moeten aantoonbaar passende maatregelen nemen om risico’s te beheersen, afgestemd op hun situatie.

Ja. Als een fysiek incident invloed kan hebben op systemen of dienstverlening, kan dit meldplichtig zijn.

Deel dit artikel

Gerelateerde artikelen

  • SERIS Foundation

    SERIS Foundation: maatschappelijke betrokkenheid in de regio

    Waar de SERIS Foundation begint Op een doordeweekse avond in Rotterdam staat in een wijkrestaurant een grote pan ... lees verder

    5,7 min readPublished On: 6 mei 2026
  • Toekomstbestendige beveiligingsorganisatie

    SERIS Nederland: Bouwen aan een toekomstbestendige beveiligingsorganisatie

    Korte terugblik naar de oorsprong Bijna twee jaar geleden schreef ik mijn eerste blog als algemeen directeur. Over ... lees verder

    8,4 min readPublished On: 17 april 2026
  • Fysieke beveiliging

    Waarom fysieke beveiliging niet te vervangen is door techniek

    De vraag die steeds vaker wordt gesteld over fysieke beveiliging De veranderingen in de beveiligingssector volgen elkaar snel ... lees verder

    5,3 min readPublished On: 15 april 2026