diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02 Cbw compliance in 8 stappen.md b/Content Factory/Marketing voor ZZP werk/Posts/s02 Cbw compliance in 8 stappen.md new file mode 100644 index 0000000..481742f --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02 Cbw compliance in 8 stappen.md @@ -0,0 +1,51 @@ +**Reeks: Cbw-compliance in 8 stappen** _5 posts — doelgroep: directie/bestuur MKB_ + +--- + +**Post 1 — Provocatie** _"De wet maakt jou verantwoordelijk. Niet je IT-afdeling."_ + +- Opener: de Cbw is aangenomen, treedt naar verwachting 1 juli 2026 in werking +- De kern van art. 24: elk bestuurslid moet aantoonbare kennis hebben van cybersecurityrisico's — geen delegatie mogelijk +- Aansprakelijkheid ligt bij de directie, niet bij de IT-afdeling of de MSP +- Geen technische kennis vereist, wél bestuurlijke verantwoordelijkheid +- Slotvraag: weet jij wat er van jou persoonlijk verwacht wordt? + +--- + +**Post 2 — Reframe** _"Wat de Cbw écht van je vraagt"_ + +- De wet vraagt geen perfecte beveiliging — maar aantoonbaar risicomanagement +- Art. 21: 10 minimummaatregelen, van risicoanalyse tot MFA — maar de wet schrijft niet voor hóé +- De beweging die de wet vraagt: van ad-hoc naar structureel, van IT-feestje naar managementproces +- Concreet: wie in jouw organisatie neemt welke beslissing over welk risico? +- Brug naar post 3: er zijn 8 stappen die je van hier naar daar brengen + +--- + +**Post 3 — Stappen 1 t/m 4: de basis** _"Zonder dit geen grip"_ + +- Stap 1 — Risicoanalyse: welke processen en systemen zijn kritiek, wat kan er misgaan, hoe groot is de kans en impact? Geen IT-exercitie maar een sessie met senior medewerkers uit de hele organisatie +- Stap 2 — Gap-analyse: leg de uitkomst naast de 10 minimummaatregelen van art. 21 — wat is er al, wat ontbreekt, wat heeft prioriteit? De 10 maatregelen kort benoemen als toetssteen: risicoanalyse, incidentresponse, BCM, leveranciersketen, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne & opleiding, cryptografie, personeels- en toegangsbeheer, MFA & beveiligde communicatie +- Stap 3 — BCM actualiseren: voeg cyberscenario's toe aan je bedrijfscontinuïteitsplan. Ransomware, uitval van een kritische leverancier — wat doe je dan? +- Stap 4 — Incident response: een kort, werkbaar plan voor als het misgaat. Wie doet wat, wie communiceert naar klanten, wat is de meldingsplicht? +- Slotpunt: dit is geen eenmalig project maar het fundament waarop de rest rust + +--- + +**Post 4 — Stappen 5 t/m 8: zichtbaar en aantoonbaar** _"Compliance is pas echt als je het kunt bewijzen"_ + +- Stap 5 — Leveranciersmanagement: ketenverantwoordelijkheid is een wettelijke verplichting. Ken het risicoprofiel van je leveranciers, wat hebben ze toegang tot, en wat staat er in de contracten? +- Stap 6 — Bestuurstraining: art. 24 verplicht elk bestuurslid tot aantoonbare kennis. Geen excuus, geen delegatie — en de deadline loopt +- Stap 7 — Beveiligingsprofiel voor klanten: voorkom dat je elk kwartaal een andere vragenlijst invult. Eén standaarddocument dat laat zien dat je het op orde hebt +- Stap 8 — Borging: eigenaren benoemen, reviews inplannen, PDCA inrichten. De wet eist aantoonbare processen, geen eenmalige sprint +- Slotpunt: stappen 5 t/m 8 zijn wat je zichtbaar maakt naar buiten — en wat toezichthouders en klanten beoordelen + +--- + +**Post 5 — Afsluiting** _"Waar sta jij?"_ + +- Niet iedereen begint op nulpunt — sommige stappen zijn misschien al gezet +- Maar bijna elke organisatie heeft blinde vlekken, juist omdat security tot nu toe bij IT lag +- Terugkoppeling aan de 10 maatregelen: hoeveel van die 10 kun jij vandaag aantoonbaar afvinken? Niet in je hoofd — op papier, voor een toezichthouder +- De vraag is niet of je compliant bent, maar of je weet waar de gaten zitten +- Afsluiter: "Als je wilt weten waar jouw organisatie staat, praat ik graag een uur met je." \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md new file mode 100644 index 0000000..09be269 --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md @@ -0,0 +1,15 @@ +# Op 1 juli treedt de Cyberbeveiligingswet (Cbw) in werking. + +Op 1 juli treedt de Cyberbeveiligingswet (Cbw) in werking. Deze wet maakt jou persoonlijk verantwoordelijk voor informatiebeveiliging. In een paar posts leg ik uit wat dat voor jou en je organisatie betekent. + +De Nederlandse omzettingswet van de NIS 2 regulering eist dat bestuurders persoonlijk kunnen aantonen dat de informatiebeveiliging van hun organisatie op orde is. + +Elk bestuurslid moet kennis hebben van cybersecurityrisico's, moet de maatregelen die de organisatie neemt kunnen beoordelen, en moet dat binnen twee jaar aantoonbaar kunnen maken. Artikel 24 is daar helder over. + +De uitvoering mag je delegeren, net als de noodzakelijke technische kennis. Maar niet de bestuurlijke betrokkenheid en verantwoordelijkheid. + +Dat betekent dat je betrokken moet zijn bij de keuzes die op hoofdlijnen gemaakt worden, en dat je moet begrijpen waar het over gaat. + +In de komende vier posts geef ik de acht stappen die je als directie moet zetten om aan de Cbw te voldoen. Aan het eind heb je een concreet en direct uitvoerbaar stappenplan, en weet je wat er van jou als bestuurder verwacht wordt. + +— Cbw-compliance in 8 stappen — 1/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md new file mode 100644 index 0000000..662a898 --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md @@ -0,0 +1,15 @@ +# De Cbw vraagt om risicomanagement, niet om perfecte beveiliging + +De Cbw vraagt om risicomanagement, niet om perfecte beveiliging. + +Als directeur hoef je geen verstand te hebben van firewalls, software-updates en encryptie. Wel moet je weten waar de risico's voor jouw organisatie liggen, en moet je aan kunnen tonen dat je stuurt op de beheersing van die risico's. + +Je kunt dat niet doen door je handtekening te zetten onder een lijst maatregelen van je IT-leverancier. Maatregelen zonder een onderliggende risicoanalyse zijn willekeurig. Mocht er iets mis gaan, dan heb je geen goede verantwoording voor de gemaakte keuzes. + +De wet benoemt tien minimummaatregelen – van risicoanalyse en reactie op incidenten tot leveranciersmanagement en opleiding van medewerkers. Hoe die precies ingevuld worden zal per organisatie verschillen, maar de invulling moet gebaseerd zijn op een goede en complete risicoanalyse. De maatregelen moeten ook passen bij de organisatie, dus draagbaar en uitvoerbaar zijn. Dat is geen IT-kwestie, maar een managementbeslissing. + +De uitkomst van de Cbw is dat informatiebeveiliging niet langer 'een IT-feestje' is, maar een integraal onderdeel van de organisatiebesturing. + +In de volgende post de eerste vier stappen om dit in te richten. + +— Cbw-compliance in 8 stappen — 2/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - 1.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - 1.md new file mode 100644 index 0000000..bcbef8c --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - 1.md @@ -0,0 +1,15 @@ +**Grip begint met weten waar je staat.** + +De tien minimummaatregelen uit de Cbw klinken abstract zolang je niet weet welke risico's voor jouw organisatie het zwaarst wegen. Daarom beginnen de eerste vier stappen niet met maatregelen, maar met inzicht. + +**Stap 1 — Risicoanalyse** Welke processen en systemen zijn kritiek voor je bedrijfsvoering? Wat kan er misgaan, hoe groot is de kans, en wat is de impact? Dit is geen IT-exercitie. Het zijn vragen die je beantwoordt in een paar werksessies met senior medewerkers uit de hele organisatie — van productie tot inkoop tot HR. + +**Stap 2 — Gap-analyse** Leg de uitkomst van de risicoanalyse naast de tien minimummaatregelen van art. 21: risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie. Wat is er al, wat ontbreekt, en wat heeft prioriteit gezien de risico's? + +**Stap 3 — Bedrijfscontinuïteit** Veel organisaties hebben een bedrijfscontinuïteitsplan. Maar bevat het ook cyberscenario's? Wat doe je als je systemen uitvallen door ransomware, of als een kritische leverancier wegvalt? Dit is het moment om die scenario's toe te voegen en doelen te stellen voor maximale hersteltijd. + +**Stap 4 — Incident response** Als er iets misgaat, moet er een plan liggen. Wie doet wat, wie communiceert naar klanten, wat is de meldingsplicht? Dat hoeft geen dik document te zijn — een paar pagina's volstaan. Maar het moet er wel zijn, en iedereen moet het kennen. + +Deze vier stappen vormen het fundament. In de volgende post de vier stappen die je compliant en aantoonbaar maken naar buiten. + +— Cbw-compliance in 8 stappen — 3/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl -.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl -.md new file mode 100644 index 0000000..7151726 --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl -.md @@ -0,0 +1,3 @@ + + +— Cbw-compliance in 8 stappen — 4/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl -.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl -.md new file mode 100644 index 0000000..be4c82f --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl -.md @@ -0,0 +1,3 @@ + + +— Cbw-compliance in 8 stappen — 5/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file