De Cyberbeveiligingswet landt medio 2026.

Jullie bestuur is nu aansprakelijk. Ook voor de AI toepassingen waar je nooit voor gekozen hebt.

De Cbw (de Nederlandse NIS2-wet) legt zorgplicht, meldplicht en persoonlijke bestuursaansprakelijkheid op tafel. Tel daar de AI-verordening bij op, en de lastigste vraag wordt: welke AI draait er al binnen jullie organisatie — inclusief de functies die leveranciers stilletjes hebben aangezet? Wij brengen het in kaart, in een readiness-sprint met een vaste scope.

Start gratis compliancescanPlan intake (30 min)

Waarom nu: de Cbw (NIS2)

De Cyberbeveiligingswet (Cbw) — de Nederlandse implementatie van de Europese NIS2-richtlijn — treedt medio 2026 in werking. Dit brengt vier cruciale speerpunten met zich mee waar het bestuur direct verantwoordelijk voor is:

Zorgplicht

Verplichte implementatie van risicogebaseerde cybersecuritymaatregelen.

Strikte meldplicht

Een eerste waarschuwing is vereist binnen 24 uur; een uitgebreide rapportage binnen 72 uur.

Officiële NCSC-registratie

Verplichte formele registratie bij het Nationaal Cyber Security Centrum.

Persoonlijke aansprakelijkheid van bestuurders

De bedrijfsleiding kan persoonlijk aansprakelijk worden gesteld bij het niet naleven van de wetgeving.

Het toezicht hierop ligt bij de RDI en sectorspecifieke autoriteiten. Wij bereiden organisaties voor om aan deze normen te voldoen — als strategisch adviseur, niet als auditor.


De blinde vlek in regelgeving

Digitale weerbaarheid (Cbw) and AI-governance (EU AI Act) komen samen bij één complexe vraag: welke software draait er nu écht binnen het netwerk? De meeste moderne AI wordt niet bewust geïmplementeerd, maar automatisch geactiveerd in tools die teams al gebruiken (zoals Microsoft, Zoom of Salesforce). Als AI-gebruiker ('deployer') ligt de wettelijke plicht om hier toezicht op te houden bij de organisatie. Onze readiness-sprint brengt zowel verborgen AI-risico's als Cbw-kwetsbaarheden samen in één overzichtelijke roadmap voor het bestuur. Dit is een praktisch adviestraject ter voorbereiding, geen generieke certificeringsaudit.

Het werkelijke probleem

Veel organisaties maken zich zorgen over medewerkers die gevoelige gegevens in ChatGPT plakken. Een groter, onbemerkt risico is echter 'embedded shadow AI'. Dit ontstaat wanneer vertrouwde softwareleveranciers generatieve AI-functies standaard inschakelen via automatische updates — zonder vooraankondiging en zonder goedkeuring van de directie.

"Zodra AI-functionaliteiten via bestaande tools zoals CRM, ERP of kantoorsuites binnenkomen, krijgt de organisatie als 'deployer' direct de wettelijke plicht om deze te classificeren, te monitoren of te beperken. Organisaties worden hier echter zelden tijdig over geïnformeerd om actie te kunnen ondernemen. Hier zit een enorm gat in de processen." — CISO, Wereldwijd Farmaceutisch Bedrijf

Onder de EU AI Act geldt een organisatie al snel als de 'deployer'. Dat betekent dat de wettelijke verantwoordelijkheid om te loggen, te monitoren en het personeel te informeren hier ligt, nog voordat deze tools live gaan. Wanneer software-updates geruisloos en achter de schermen AI-functies activeren, loopt men achter de feiten aan.

Executive Readiness Rapport

Wat het oplevert

Een bestuurswaardig assessment dat de huidige status ten opzichte van de EU AI Act en NIS2 gedetailleerd in kaart brengt. Dit biedt een onverbloemd inzicht in de belangrijkste risico's, inclusief een geprioriteerd 30/60/90-dagenplan met duidelijke actiehouders. Geschreven in heldere, concrete taal waar het bestuur direct mee akkoord kan gaan.


Het rapport bevat twee specifieke assessmentmodules:

Road

Embedded Shadow AI Scan

Een assessment zonder impact op de productieomgeving dat verborgen AI-functies van huidige softwareleveranciers blootlegt — zonder netwerkverstoringen of software-installaties.

Assessment Soevereine Datamigratie

Een gestructureerde evaluatie per workload om te bepalen welke data-assets verplaatst moeten worden van buitenlandse clouds naar soevereine EU- of private infrastructuren, en in welke volgorde.


Voor wie

Speciaal ontwikkeld voor enterprise- en mid-marketorganisaties (50–250 medewerkers) die werken met gevoelige, bedrijfseigen of streng gereguleerde data en moeten voldoen aan de EU AI Act and NIS2. Onze expertise ligt in de productie-industrie, R&D, chemie, farma, gereguleerde financiële instellingen, gezondheidszorg en zakelijke dienstverlening met een hoge toegevoegde waarde.


Strategisch advies, geen rigide audit

Wij leggen de vinger op de compliancegaten en bereiden organisaties grondig voor op het officiële toezicht door de bevoegde nationale autoriteiten. Wij bieden een concrete strategie, geen standaard afvinkcertificaten. Mocht het compliance-traject vragen om een formele juridische goedkeuring of wettelijke controle, dan zorgen wij voor een naadloze overdracht naar ons netwerk van geaccrediteerde partners.


Bescherm de organisatie

Krijg vandaag nog zicht op de risico's en plan een vrijblijvende readiness-intake van 30 minuten.

Plan intake (30 min)