From 0cabbc383facf974d9ae44a997c1e888fe8ac7d3 Mon Sep 17 00:00:00 2001 From: Richard Kranendonk Date: Mon, 25 May 2026 18:55:29 +0200 Subject: [PATCH 1/2] Creating content --- .../Posts/s02 Cbw compliance in 8 stappen.md | 51 --------------- ...nl - Op 1 juli treedt de Cbw in werking.md | 6 +- ...2nl - De Cbw vraagt om risicomanagement.md | 4 +- .../Posts/s02p03nl - 1.md | 15 ----- .../Posts/s02p03nl - Waar begin je?.md | 17 +++++ .../s02p04nl - Compliant en aantoonbaar.md | 17 +++++ .../Posts/s02p04nl -.md | 3 - ... - Cbw compliance heeft geen finishlijn.md | 15 +++++ ... => s02p06nl - Bonus post Cbw en 27001.md} | 0 .../NIS 2 Cbw/Bestuurstraining Cbw.md | 64 +++++++++++++++++++ 10 files changed, 119 insertions(+), 73 deletions(-) delete mode 100644 Content Factory/Marketing voor ZZP werk/Posts/s02 Cbw compliance in 8 stappen.md delete mode 100644 Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - 1.md create mode 100644 Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - Waar begin je?.md create mode 100644 Content Factory/Marketing voor ZZP werk/Posts/s02p04nl - Compliant en aantoonbaar.md delete mode 100644 Content Factory/Marketing voor ZZP werk/Posts/s02p04nl -.md create mode 100644 Content Factory/Marketing voor ZZP werk/Posts/s02p05nl - Cbw compliance heeft geen finishlijn.md rename Content Factory/Marketing voor ZZP werk/Posts/{s02p05nl -.md => s02p06nl - Bonus post Cbw en 27001.md} (100%) create mode 100644 Corpus/Standards/NIS 2 Cbw/Bestuurstraining Cbw.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02 Cbw compliance in 8 stappen.md b/Content Factory/Marketing voor ZZP werk/Posts/s02 Cbw compliance in 8 stappen.md deleted file mode 100644 index 481742f..0000000 --- a/Content Factory/Marketing voor ZZP werk/Posts/s02 Cbw compliance in 8 stappen.md +++ /dev/null @@ -1,51 +0,0 @@ -**Reeks: Cbw-compliance in 8 stappen** _5 posts — doelgroep: directie/bestuur MKB_ - ---- - -**Post 1 — Provocatie** _"De wet maakt jou verantwoordelijk. Niet je IT-afdeling."_ - -- Opener: de Cbw is aangenomen, treedt naar verwachting 1 juli 2026 in werking -- De kern van art. 24: elk bestuurslid moet aantoonbare kennis hebben van cybersecurityrisico's — geen delegatie mogelijk -- Aansprakelijkheid ligt bij de directie, niet bij de IT-afdeling of de MSP -- Geen technische kennis vereist, wél bestuurlijke verantwoordelijkheid -- Slotvraag: weet jij wat er van jou persoonlijk verwacht wordt? - ---- - -**Post 2 — Reframe** _"Wat de Cbw écht van je vraagt"_ - -- De wet vraagt geen perfecte beveiliging — maar aantoonbaar risicomanagement -- Art. 21: 10 minimummaatregelen, van risicoanalyse tot MFA — maar de wet schrijft niet voor hóé -- De beweging die de wet vraagt: van ad-hoc naar structureel, van IT-feestje naar managementproces -- Concreet: wie in jouw organisatie neemt welke beslissing over welk risico? -- Brug naar post 3: er zijn 8 stappen die je van hier naar daar brengen - ---- - -**Post 3 — Stappen 1 t/m 4: de basis** _"Zonder dit geen grip"_ - -- Stap 1 — Risicoanalyse: welke processen en systemen zijn kritiek, wat kan er misgaan, hoe groot is de kans en impact? Geen IT-exercitie maar een sessie met senior medewerkers uit de hele organisatie -- Stap 2 — Gap-analyse: leg de uitkomst naast de 10 minimummaatregelen van art. 21 — wat is er al, wat ontbreekt, wat heeft prioriteit? De 10 maatregelen kort benoemen als toetssteen: risicoanalyse, incidentresponse, BCM, leveranciersketen, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne & opleiding, cryptografie, personeels- en toegangsbeheer, MFA & beveiligde communicatie -- Stap 3 — BCM actualiseren: voeg cyberscenario's toe aan je bedrijfscontinuïteitsplan. Ransomware, uitval van een kritische leverancier — wat doe je dan? -- Stap 4 — Incident response: een kort, werkbaar plan voor als het misgaat. Wie doet wat, wie communiceert naar klanten, wat is de meldingsplicht? -- Slotpunt: dit is geen eenmalig project maar het fundament waarop de rest rust - ---- - -**Post 4 — Stappen 5 t/m 8: zichtbaar en aantoonbaar** _"Compliance is pas echt als je het kunt bewijzen"_ - -- Stap 5 — Leveranciersmanagement: ketenverantwoordelijkheid is een wettelijke verplichting. Ken het risicoprofiel van je leveranciers, wat hebben ze toegang tot, en wat staat er in de contracten? -- Stap 6 — Bestuurstraining: art. 24 verplicht elk bestuurslid tot aantoonbare kennis. Geen excuus, geen delegatie — en de deadline loopt -- Stap 7 — Beveiligingsprofiel voor klanten: voorkom dat je elk kwartaal een andere vragenlijst invult. Eén standaarddocument dat laat zien dat je het op orde hebt -- Stap 8 — Borging: eigenaren benoemen, reviews inplannen, PDCA inrichten. De wet eist aantoonbare processen, geen eenmalige sprint -- Slotpunt: stappen 5 t/m 8 zijn wat je zichtbaar maakt naar buiten — en wat toezichthouders en klanten beoordelen - ---- - -**Post 5 — Afsluiting** _"Waar sta jij?"_ - -- Niet iedereen begint op nulpunt — sommige stappen zijn misschien al gezet -- Maar bijna elke organisatie heeft blinde vlekken, juist omdat security tot nu toe bij IT lag -- Terugkoppeling aan de 10 maatregelen: hoeveel van die 10 kun jij vandaag aantoonbaar afvinken? Niet in je hoofd — op papier, voor een toezichthouder -- De vraag is niet of je compliant bent, maar of je weet waar de gaten zitten -- Afsluiter: "Als je wilt weten waar jouw organisatie staat, praat ik graag een uur met je." \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md index 09be269..37c1d3b 100644 --- a/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md @@ -1,6 +1,8 @@ -# Op 1 juli treedt de Cyberbeveiligingswet (Cbw) in werking. +`posted on 21 May 2026 10:03 CEST to LinkedIn personal stream` -Op 1 juli treedt de Cyberbeveiligingswet (Cbw) in werking. Deze wet maakt jou persoonlijk verantwoordelijk voor informatiebeveiliging. In een paar posts leg ik uit wat dat voor jou en je organisatie betekent. +Als bestuurder wordt jij op 1 juli 2026 persoonlijk verantwoordelijk voor informatiebeveiliging. + +Als op 1 juli 2026 de Cyberbeveiligingswet (Cbw) in werking treedt, wordt jij persoonlijk verantwoordelijk voor informatiebeveiliging. In een paar posts leg ik uit wat dat voor jou en je organisatie betekent. De Nederlandse omzettingswet van de NIS 2 regulering eist dat bestuurders persoonlijk kunnen aantonen dat de informatiebeveiliging van hun organisatie op orde is. diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md index 662a898..6cf515e 100644 --- a/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md @@ -1,10 +1,10 @@ # De Cbw vraagt om risicomanagement, niet om perfecte beveiliging -De Cbw vraagt om risicomanagement, niet om perfecte beveiliging. +De Cyberbeveiligingswet vraagt om risicomanagement, niet om perfecte beveiliging. Als directeur hoef je geen verstand te hebben van firewalls, software-updates en encryptie. Wel moet je weten waar de risico's voor jouw organisatie liggen, en moet je aan kunnen tonen dat je stuurt op de beheersing van die risico's. -Je kunt dat niet doen door je handtekening te zetten onder een lijst maatregelen van je IT-leverancier. Maatregelen zonder een onderliggende risicoanalyse zijn willekeurig. Mocht er iets mis gaan, dan heb je geen goede verantwoording voor de gemaakte keuzes. +Je handtekening zetten onder een lijst maatregelen van je IT-leverancier is niet voldoende: maatregelen zijn willekeurig, als ze niet gebaseerd zijn op een risicoanalyse. Mocht er iets mis gaan, dan moet je je keuzes kunnen verantwoorden. Je kunt je niet vrijpleiten door te wijzen naar een andere partij. De wet benoemt tien minimummaatregelen – van risicoanalyse en reactie op incidenten tot leveranciersmanagement en opleiding van medewerkers. Hoe die precies ingevuld worden zal per organisatie verschillen, maar de invulling moet gebaseerd zijn op een goede en complete risicoanalyse. De maatregelen moeten ook passen bij de organisatie, dus draagbaar en uitvoerbaar zijn. Dat is geen IT-kwestie, maar een managementbeslissing. diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - 1.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - 1.md deleted file mode 100644 index bcbef8c..0000000 --- a/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - 1.md +++ /dev/null @@ -1,15 +0,0 @@ -**Grip begint met weten waar je staat.** - -De tien minimummaatregelen uit de Cbw klinken abstract zolang je niet weet welke risico's voor jouw organisatie het zwaarst wegen. Daarom beginnen de eerste vier stappen niet met maatregelen, maar met inzicht. - -**Stap 1 — Risicoanalyse** Welke processen en systemen zijn kritiek voor je bedrijfsvoering? Wat kan er misgaan, hoe groot is de kans, en wat is de impact? Dit is geen IT-exercitie. Het zijn vragen die je beantwoordt in een paar werksessies met senior medewerkers uit de hele organisatie — van productie tot inkoop tot HR. - -**Stap 2 — Gap-analyse** Leg de uitkomst van de risicoanalyse naast de tien minimummaatregelen van art. 21: risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie. Wat is er al, wat ontbreekt, en wat heeft prioriteit gezien de risico's? - -**Stap 3 — Bedrijfscontinuïteit** Veel organisaties hebben een bedrijfscontinuïteitsplan. Maar bevat het ook cyberscenario's? Wat doe je als je systemen uitvallen door ransomware, of als een kritische leverancier wegvalt? Dit is het moment om die scenario's toe te voegen en doelen te stellen voor maximale hersteltijd. - -**Stap 4 — Incident response** Als er iets misgaat, moet er een plan liggen. Wie doet wat, wie communiceert naar klanten, wat is de meldingsplicht? Dat hoeft geen dik document te zijn — een paar pagina's volstaan. Maar het moet er wel zijn, en iedereen moet het kennen. - -Deze vier stappen vormen het fundament. In de volgende post de vier stappen die je compliant en aantoonbaar maken naar buiten. - -— Cbw-compliance in 8 stappen — 3/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - Waar begin je?.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - Waar begin je?.md new file mode 100644 index 0000000..68a007e --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - Waar begin je?.md @@ -0,0 +1,17 @@ +# Informatiebeveiliging als onderdeel van je organisatiebesturing — waar begin je? + +Informatiebeveiliging als onderdeel van je organisatiebesturing — waar begin je? + +Om als bestuurder te kunnen sturen op informatiebeveiliging, zorg je eerst voor inzicht in de huidige veiligheidssituatie, en zorg je dat de organisatie is voorbereid op het moment dat er toch iets misgaat. Daar gaan de eerste vier stappen over. + +Stap 1: Risicoanalyse — Identificeer de processen en systemen die kritiek voor je bedrijfsvoering. Wat kan er misgaan, hoe groot is de kans, en wat is de impact? Dit is geen vraag voor de IT-afdeling. Dit zijn vragen waarop de managers en senior medewerkers van de afdelingen een antwoord moeten hebben — van verkoop en productie tot inkoop en HR. Dit kun je in een paar gezamenlijke werksessies helder krijgen. + +Stap 2: Gap-analyse — Bekijk de tien minimummaatregelen van art. 21 uit de Cyberbeveiligingswet (Cbw): risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie. Wat is er al, wat ontbreekt er, zijn de stukken nog actueel, wat moet je eerst aanpakken, gezien de risicoanalyse uit stap 1? + +Stap 3: Bedrijfscontinuïteit — Veel organisaties hebben een bedrijfscontinuïteitsplan. Maar bevat het ook scenario's voor de beschikbaarheid, vertrouwelijkheid en integriteit van IT- middelen en -diensten? Wat doe je als je systemen uitvallen door ransomware, of als een kritische leverancier wegvalt? Beschrijf scenario's voor de belangrijkste risico's en stel doelen voor de maximale hersteltijd. + +Stap 4: Incident response — Als er iets misgaat, moet er een plan liggen. Dan hoeft niemand in paniek te raken. Wie doet wat, wie communiceert naar klanten en belanghebbenden, wat is de meldingsplicht? Dat hoeft geen dik document te zijn — een paar pagina's volstaan. Maar het moet er wel zijn, en iedereen moet het kennen. + +Deze vier stappen zorgen voor inzicht en vertrouwen. In de volgende post de vier stappen die informatiebeveiliging compliant en aantoonbaar maken. + +— Cbw-compliance in 8 stappen — 3/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl - Compliant en aantoonbaar.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl - Compliant en aantoonbaar.md new file mode 100644 index 0000000..f18c6fe --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl - Compliant en aantoonbaar.md @@ -0,0 +1,17 @@ +# Informatiebeveiliging compliant en aantoonbaar maken — de laatste vier stappen. + +Informatiebeveiliging compliant en aantoonbaar maken — de laatste vier stappen. + +De eerste vier stappen gaven inzicht en voorbereiding. De volgende vier maken informatiebeveiliging aantoonbaar: naar je leveranciers, naar je klanten, en naar toezichthouders. + +Stap 5: Leveranciersmanagement — De Cbw verplicht je expliciet tot ketenverantwoordelijkheid. Je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor wat je leveranciers doen met jouw data en systemen. Uit je risicoanalyse (stap 1) weet je wat de kritische systemen en diensten zijn. Breng het risicoprofiel van de leveranciers in kaart: hoe afhankelijk ben je van ze, welke toegang hebben ze tot je systemen, en wat hebben jullie contractueel vastgelegd over beveiliging? De stelregel is: de eisen die je aan je eigen beveiliging stelt, moet je ook stellen aan je leverancier. + +Stap 6: Bestuurstraining — Artikel 24 verplicht elk bestuurslid tot aantoonbare kennis van cybersecurityrisico's, maatregelen, en het op strategisch niveau kunnen voeren van het gesprek over beveiliging. Certificeringseisen moeten nog worden uitgewerkt, maar een training die de wettelijke leerdoelen afdekt en daar een schriftelijk bewijs van afgeeft, is vooralsnog de meest praktische invulling. + +Stap 7: Beveiligingsprofiel voor klanten — De vragen en eisen die jij aan leveranciers stelt (stap 5), zullen jouw klanten en opdrachtgevers ook aan jou gaan stellen. Het is raadzaam een standaarddocument op te stellen waarin je beleid en de belangrijkste maatregelen zijn samengevat. Dat is geen wettelijke eis, maar een praktische invulling die helpt je kansen bij klanten te vergroten en het verkoopproces versnelt. + +Stap 8: Borging in de organisatie — Voldoen aan de Cbw is geen eenmalig project, maar vraagt aantoonbare processen die zorgen dat de beveiliging actueel blijft. Benoem eigenaren voor de verschillende onderdelen en plan periodieke reviews. Die eigenaren hoeven geen technische kennis te hebben: ze zijn verantwoordelijk voor het proces, niet voor de inhoud. De eindverantwoordelijkheid ligt altijd bij de directie. + +"In de volgende post: Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht. + +— Cbw-compliance in 8 stappen — 4/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl -.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl -.md deleted file mode 100644 index 7151726..0000000 --- a/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl -.md +++ /dev/null @@ -1,3 +0,0 @@ - - -— Cbw-compliance in 8 stappen — 4/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl - Cbw compliance heeft geen finishlijn.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl - Cbw compliance heeft geen finishlijn.md new file mode 100644 index 0000000..21f787f --- /dev/null +++ b/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl - Cbw compliance heeft geen finishlijn.md @@ -0,0 +1,15 @@ +# Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht + +Cbw compliance heeft geen finishlijn, maar vraagt wel voortdurende aandacht. + +De acht stappen in deze reeks leiden niet naar een oorkonde. Ze leiden naar een werkend systeem van risicomanagement dat je organisatie weerbaar houdt en waarmee je als bestuurder verantwoording kunt afleggen over de gemaakte keuzes. + +Gebruik de tien minimummaatregelen uit artikel 21 — risicoanalyse en beveiligingsbeleid, incidentresponse, bedrijfscontinuïteit, leveranciersbeveiliging, systeembeveiliging, effectiviteitsbeoordeling, cyberhygiëne en opleiding, cryptografie, personeels- en toegangsbeheer, en authenticatie — daarom niet als checklist, maar als kader om bij te sturen in een omgeving waar processen, technologie, stakeholders en risico's continu veranderen. + +Als bestuurder hoef je niet op zoek naar zwakke plekken in de techniek. Wat je wél nodig hebt om de juiste beslissingen te nemen, is inzicht in het verband tussen bedrijfsrisico's en IT-maatregelen. Dat inzicht krijg je door je betrokkenheid bij de risicoanalyse uit stap 1. Hiermee kun je het gesprek over informatiebeveiliging naar bestuursniveau trekken. + +De Cbw vraagt niet om perfecte beveiliging — er zullen altijd risico's zijn. Waar het wel om gaat is dat je consistent blijft zoeken naar verbetering, zoals je dat als bestuurder gewend bent te doen. + +Als je wilt weten waar jouw organisatie staat, praat ik graag een uur met je. + +— Cbw-compliance in 8 stappen — 5/5 \#managingsecurity \#Cbw \#NIS2 \ No newline at end of file diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl -.md b/Content Factory/Marketing voor ZZP werk/Posts/s02p06nl - Bonus post Cbw en 27001.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s02p05nl -.md rename to Content Factory/Marketing voor ZZP werk/Posts/s02p06nl - Bonus post Cbw en 27001.md diff --git a/Corpus/Standards/NIS 2 Cbw/Bestuurstraining Cbw.md b/Corpus/Standards/NIS 2 Cbw/Bestuurstraining Cbw.md new file mode 100644 index 0000000..8d5ad98 --- /dev/null +++ b/Corpus/Standards/NIS 2 Cbw/Bestuurstraining Cbw.md @@ -0,0 +1,64 @@ +# Bestuurderstraining onder de Cbw + +Verplicht de Cbw dat bestuurders een certificaat hebben van een Cybersecurity training? + +Nee, niet precies. De Nederlandse Cyberbeveiligingswet legt wel een opleidings- en kennisverplichting voor bestuurders neer, maar uit de beschikbare toelichting volgt niet dat elk bestuurslid per se een specifiek, wettelijk voorgeschreven certificaat moet hebben van een aangewezen instantie. De kern is dat bestuurders aantoonbaar voldoende kennis en vaardigheden moeten hebben over cyberrisico’s, risicobeheersing en de gevolgen van maatregelen, en dat dit binnen twee jaar na inwerkingtreding of na benoeming op peil moet zijn.[5] + +## Wat er wél van bestuurders wordt gevraagd +De bestuursleden moeten de risico’s voor netwerk- en informatiesystemen kunnen begrijpen, maatregelen kunnen beoordelen en het gesprek met de CISO op strategisch niveau kunnen voeren. De training moet in elk geval onderwerpen behandelen zoals soorten risico’s, mogelijke gevolgen, risicomanagement binnen de organisatie, en het beoordelen van cyberbeheersmaatregelen. Volgens de toelichting moet die kennis daarna ook actueel worden gehouden.[5] + +## Over dat certificaat +In de toelichting wordt genoemd dat na afloop van de training een certificaat kan worden afgegeven als bewijs dat de training is gevolgd, met vermelding van de gevolgde onderwerpen. Tegelijk staat daar ook dat de precieze eisen voor zo’n certificaat nog in het Cyberbeveiligingsbesluit worden vastgelegd. Dat betekent dat er nu nog geen definitief, volledig uitgewerkt landelijk certificeringsregime is waarop je al kunt wijzen.[5] + +## Wie mag het afgeven? +Op basis van de beschikbare informatie is er nog geen publiek uitgewerkt antwoord dat alleen een bepaalde overheid of gecertificeerde instelling dit certificaat mag uitgeven. De tekst wijst juist op nadere uitwerking in lagere regelgeving, dus de details over uitgevende partijen, opleiders en minimale inhoud zijn nog niet volledig dichtgeregeld. Wel is duidelijk dat de training zelf erop gericht moet zijn om de wettelijke leerdoelen af te dekken.[5] + +## Praktisch gevolg +Voor nu kun je het het beste zo samenvatten: er is een **trainings- en bewijsverplichting**, maar niet al een uitgekristalliseerde eis dat ieder bestuurslid een door een specifieke instantie afgegeven cybersecuritycertificaat moet hebben. Organisaties doen er verstandig aan om trainingen te kiezen die expliciet aansluiten op de wettelijke leerdoelen en daar een schriftelijk bewijs of certificaat van te bewaren. De uiteindelijke formele eisen volgen uit de verdere uitwerking in het Cyberbeveiligingsbesluit.[5] + +Sources +[1] Bestuurders in de vuurlinie van de Cyberbeveiligingswet - FidelSec https://fidelsec.nl/blog/2025/05/20/bestuurders-in-de-vuurlinie-van-de-cyberbeveiligingswet/ +[2] CBW/NIS2 Governance voor Bestuurders (incompany training) https://www.tstc.nl/training/553/cbw-nis2-governance-voor-bestuurders-incompany-training +[3] Nationale Cybersecurity Certificerings Autoriteit van start https://beveiligingnieuws.nl/nationale-cybersecurity-certificerings-autoriteit-van-start/ +[4] Onbewuste bestuurders risico voor digitale veiligheid... - Berenschot https://www.berenschot.nl/blog/onbewuste-bestuurders-risico-voor-digitale-veiligheid +[5] Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid-en-opleidingsplicht-voor-bestuurders +[6] Training NIS2/Cyberbeveiligingswet voor bestuurders https://www.berenschot.nl/digitalisering-en-technologie/informatiebeveiliging-en-cybersecurity/training-nis2-cyberbeveiligingswet-voor-bestuurders +[7] Het Nederlandse cybersecurity certificeringslandschap na ... https://www.ncsc.nl/wat-doet-het-ncsc-voor-jou/onderzoek/onderzoeksresultaten/het-nederlandse-cybersecurity-certificeringslandschap-na-de-intreding-van-de-cybersecurity-act +[8] BLOG: De Cyberbeveiligingswet: nieuwe ... https://l2p.nl/blog-de-cyberbeveiligingswet-nieuwe-verantwoordelijkheden-en-aansprakelijkheid-voor-bestuurders-van-gemeenten-en-gemeentelijke-regelingen +[9] document?id=2025D31014 https://www.tweedekamer.nl/downloads/document?id=2025D31014 +[10] Online NIS2 training - Verplicht voor bestuurders https://avg-compleet.nl/onze-diensten/privacy-trainingen/inleiding-tot-de-nis2/ + +# Kunnen we uit de wet de leerdoelen afleiden? + +Ja, grotendeels wel: uit de wet en de toelichting zijn de leerdoelen al redelijk goed af te leiden, ook al worden ze in lagere regelgeving nog verder uitgewerkt.[4][6] + +## Af te leiden leerdoelen +De training moet bestuurders in staat stellen om risico’s voor netwerk- en informatiesystemen te herkennen, de gevolgen van die risico’s te begrijpen, en passende beheersmaatregelen te beoordelen. Ook moeten zij het risicomanagementproces binnen de organisatie kunnen volgen en er op strategisch niveau over kunnen meepraten. Verder hoort daar bij dat zij voldoende basis hebben om met de CISO en andere verantwoordelijken inhoudelijk te sparren over cyberbeveiliging.[6][4] + +## Concreet uit de toelichting +De toelichting noemt als onderwerp in elk geval: verschillende soorten risico’s zoals malware, insider threats en DDoS-aanvallen, de mogelijke gevolgen daarvan, het risicomanagementproces en de methodiek, en het beoordelen van cyberbeheersmaatregelen en hun effecten. Daarmee kun je de leerdoelen vrij nauwkeurig formuleren als: “begrijpen, beoordelen en bestuurlijk afwegen” in plaats van alleen “kennis hebben”.[4][6] + +## Wat nog niet vastligt +Wat nog niet volledig dichtstaat, zijn de exacte didactische eisen en de formele uitwerking in het Cyberbeveiligingsbesluit; daar kunnen nog nadere details over training, trainer en certificaat in komen. De wetstekst en publieke toelichting geven dus wel een stevig kader, maar geen volledig uitgewerkt curriculum met toetsmatrijs of verplichte uren.[8] + +## Praktische vertaling +Voor een training betekent dit in de praktijk dat je minimaal zou willen dat een bestuurder na afloop kan: +- cyberrisico’s herkennen en duiden. +- de impact voor de organisatie inschatten. +- voorgestelde maatregelen kritisch beoordelen. +- keuzes op bestuursniveau onderbouwen. +- met de CISO een inhoudelijk gesprek voeren over prioriteiten en opvolging.[6][4] + +Een cursus die alleen algemene awareness geeft, lijkt daarvoor waarschijnlijk te mager; de nadruk ligt echt op bestuurlijke besluitvorming en risicobeoordeling.[4][6] + +Sources +[1] Bestuurders in de vuurlinie van de Cyberbeveiligingswet - FidelSec https://fidelsec.nl/blog/2025/05/20/bestuurders-in-de-vuurlinie-van-de-cyberbeveiligingswet/ +[2] Bestuurders en de Cyberbeveiligingswet https://governance-web.nl/nieuws/bestuurders-en-de-cyberbeveiligingswet/ +[3] Cyberbeveiligingswet https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet +[4] Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid-en-opleidingsplicht-voor-bestuurders +[5] document?id=2025D31014 https://www.tweedekamer.nl/downloads/document?id=2025D31014 +[6] Bestuurlijke verantwoordelijkheid en opleidingsplicht voor ... https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-aansprakelijkheid-en-opleidingsplicht-voor-bestuurders +[7] Cbb), strekt ter uitwerkin https://www.tweedekamer.nl/downloads/document?id=2025D31015 +[8] Bestuurlijke aansprakelijkheid en opleidingsplicht voor bestuurders https://www.nctv.nl/onderwerpen/cyberbeveiligingswet/bestuurlijke-aansprakelijkheid-en-opleidingsplicht-voor-bestuurders +[9] Tweede Kamer der Staten-Generaal https://www.eerstekamer.nl/9370000/1/j9vvkyblr2b3ny8/vmo01rq7g8zm/f=y.pdf +[10] Bestuurlijke verantwoordelijkheid en governance https://www.rdi.nl/onderwerpen/digitale-weerbaarheid/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid From f9ed01cdea82d0763c73ae632110d9457b02bbb1 Mon Sep 17 00:00:00 2001 From: Richard Kranendonk Date: Tue, 26 May 2026 09:52:24 +0200 Subject: [PATCH 2/2] Added some NIS 2 info, small changes in folder structure --- .../Content Factory Implementation.md | 2 +- .../Organize your notes with Claude Code.md | 114 ---- .../Corpus overview notes.md | 0 ... Cybersecurity risk-management measures.md | 15 + ...21.md => NIS 2 Checklist artikel 21 NL.md} | 0 Corpus/Standards/NIS 2 Cbw/NIS 2 Index.md | 2 +- Corpus/Standards/NIS 2 Cbw/NIS 2 Scope.md | 29 + .../NIS 2 Cbw/nis2-article21-checklist.html | 500 ++++++++++++++++++ ... not going to fix your security problem.md | 0 ...t jouw beveiliging niet op orde krijgen.md | 0 ...ll security risks start with a decision.md | 0 ...ligingsrisico begint met een beslissing.md | 0 ...1p03en - Security is a management issue.md | 0 ...-probleem, maar een managementvraagstuk.md | 0 .../s01p04en - Good intentions dont scale.md | 0 ...nl - Op 1 juli treedt de Cbw in werking.md | 0 ...2nl - De Cbw vraagt om risicomanagement.md | 0 .../s02p03nl - Waar begin je?.md | 0 .../s02p04nl - Compliant en aantoonbaar.md | 0 ... - Cbw compliance heeft geen finishlijn.md | 0 .../s02p06nl - Bonus post Cbw en 27001.md | 0 .../For MSPs/Do you supply EU customers.md | 18 + .../agent-instructie.md | 0 .../richard-context.md | 0 marketing/branding/Channels.md | 12 + 25 files changed, 576 insertions(+), 116 deletions(-) delete mode 100644 Content Factory/Organize your notes with Claude Code.md rename {Content Factory => Corpus}/Corpus overview notes.md (100%) create mode 100644 Corpus/Standards/NIS 2 Cbw/Art.21 Cybersecurity risk-management measures.md rename Corpus/Standards/NIS 2 Cbw/{NIS 2 Checklist artikel 21.md => NIS 2 Checklist artikel 21 NL.md} (100%) create mode 100644 Corpus/Standards/NIS 2 Cbw/NIS 2 Scope.md create mode 100644 Corpus/Standards/NIS 2 Cbw/nis2-article21-checklist.html rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s01p01en - IT is not going to fix your security problem.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s01p01nl - De IT afdeling gaat jouw beveiliging niet op orde krijgen.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s01p02en - All security risks start with a decision.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s01p02nl - Een beveiligingsrisico begint met een beslissing.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s01p03en - Security is a management issue.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s01p03nl - Security is geen IT-probleem, maar een managementvraagstuk.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s01p04en - Good intentions dont scale.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s02p01nl - Op 1 juli treedt de Cbw in werking.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s02p02nl - De Cbw vraagt om risicomanagement.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s02p03nl - Waar begin je?.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s02p04nl - Compliant en aantoonbaar.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s02p05nl - Cbw compliance heeft geen finishlijn.md (100%) rename {Content Factory/Marketing voor ZZP werk/Posts => marketing/Marketing voor ZZP werk/Posts/For Leadership}/s02p06nl - Bonus post Cbw en 27001.md (100%) create mode 100644 marketing/Marketing voor ZZP werk/Posts/For MSPs/Do you supply EU customers.md rename {Content Factory => marketing}/Marketing voor ZZP werk/agent-instructie.md (100%) rename {Content Factory => marketing}/Marketing voor ZZP werk/richard-context.md (100%) diff --git a/Content Factory/Content Factory Implementation.md b/Content Factory/Content Factory Implementation.md index 66b01eb..1651fa4 100644 --- a/Content Factory/Content Factory Implementation.md +++ b/Content Factory/Content Factory Implementation.md @@ -17,7 +17,7 @@ See [PROJECT - Five Agents](PROJECT%20-%20Five%20Agents.md) for role description - Create a single short Corpus Index Note with a list of all overview notes, with a one-line description of what they cover. - Upload the Corpus Index Note and all Overview Notes to each agent Project. Claude will read the ones it needs and ignore the rest. -See [Corpus overview notes](Corpus%20overview%20notes.md). +See [Corpus overview notes](../Corpus/Corpus%20overview%20notes.md). **3. Prepare and maintain a log** diff --git a/Content Factory/Organize your notes with Claude Code.md b/Content Factory/Organize your notes with Claude Code.md deleted file mode 100644 index d73aa24..0000000 --- a/Content Factory/Organize your notes with Claude Code.md +++ /dev/null @@ -1,114 +0,0 @@ ---- -tags: - - prompting - - obsidian - - llm ---- -# Organize your notes with Claude Code - -Here’s what Claude Code did for me: - -- Researched best practices for note organization -- Suggested the most effective method tailored to my structure -- Tagged all my notes, created templates, added missing tags in two languages, and even built MOCs (Maps of Content) - -``` markdown - -## Instructions - -You will analyze the provided knowledge base structure and notes to create an improved organizational system. Follow these steps: - -### Phase 1: Analysis - -First, examine the current structure inside `` tags: - -**Current Organization Assessment** -- Identify the organizational method (folders, tags, links, or combination)- Note any patterns in naming conventions- Assess the depth of folder hierarchy- Identify potential information silos or duplicated content- Check for orphaned notes or broken connections - -**Content Type Classification** -- Categorize the types of notes present (reference, project, personal, etc.)- Identify recurring themes or topics- Note the average length and complexity of notes- Determine if notes follow atomic principles or contain multiple concepts - -**Usage Pattern Recognition** -- Identify how notes connect to each other- Assess the current linking strategy- Determine primary use cases (research, projects, learning, etc.) - -### Phase 2: Recommendations - -Based on your analysis, provide detailed recommendations inside `` tags: - -1. **Organizational Structure** - -Choose the most appropriate primary method: - -- **Flat structure with MOCs** (Maps of Content) for maximum flexibility -- **PARA method** (Projects, Areas, Resources, Archive) for action-oriented systems -- **Hybrid approach** combining minimal folders with extensive linking -- Justify your choice based on the user's content and patterns - -2. **Note Architecture** - -Recommend note types: - -- **Atomic notes** for single concepts -- **MOC notes** for topic organization -- **Index notes** for navigation -- **Daily notes** for capturing fleeting thoughts - -Provide templates for each recommended note type - -3. **Metadata and Tagging System** - -- Design a hierarchical tag structure using nested tags (e.g., #type/article, #status/draft) -- Recommend YAML frontmatter properties for enhanced organization -- Suggest tag categories: content type, status, topic, source - -3. **Linking Strategy** - -- Establish linking conventions -- Recommend when to use links vs. tags -- Suggest MOC creation triggers (e.g., when a topic has 5+ related notes) - -3. **Search and Retrieval Optimization** -- Recommend naming conventions for better search -- Suggest Dataview queries for dynamic organization -- Provide search operators for efficient retrieval - -### Phase 3: Implementation Plan - -Provide a step-by-step migration plan inside `` tags: - -**Preparation Phase** (Week 1) -- Backup current vault -- Install recommended plugins -- Create folder structure and initial MOCs - -**Migration Phase** (Weeks 2-3) -- Prioritize notes for migration- Update note formats and add metadata- Create connections and MOCs - -**Optimization Phase** (Week 4) -- Review and refine the system- Create documentation for future reference- Establish maintenance routines - -### Phase 4: Practical Examples - -Inside `` tags, provide: - -**Before and after** examples of note organization -**Sample MOC structure** with Dataview queries -**Template examples** for different note types -**Example tag hierarchy** specific to their content - -### Important Principles to Apply: -- **Future-proof design**: Create a system that scales with growth -- **Low-friction capture**: Ensure quick note creation without complex categorization -- **Progressive organization**: Start simple, add complexity as needed -- **Cross-referencing**: Maximize connections between related concepts -- **Regular maintenance**: Include periodic review processes - -Remember to: -- Prioritize findability over perfect categorization -- Design for the user's "worst day" when they're tired or rushed -- Balance structure with flexibility -- Incorporate both explicit (folders/tags) and implicit (links) organization -- Consider AI-assisted search capabilities in modern tools - -Your final output should be practical, actionable, and tailored to the specific content and usage patterns identified in the user's current system. -``` diff --git a/Content Factory/Corpus overview notes.md b/Corpus/Corpus overview notes.md similarity index 100% rename from Content Factory/Corpus overview notes.md rename to Corpus/Corpus overview notes.md diff --git a/Corpus/Standards/NIS 2 Cbw/Art.21 Cybersecurity risk-management measures.md b/Corpus/Standards/NIS 2 Cbw/Art.21 Cybersecurity risk-management measures.md new file mode 100644 index 0000000..40674ef --- /dev/null +++ b/Corpus/Standards/NIS 2 Cbw/Art.21 Cybersecurity risk-management measures.md @@ -0,0 +1,15 @@ +# Art.21 Cybersecurity risk-management measures + +1. Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services. Taking into account the state-of-the-art and, where applicable, relevant European and international standards, as well as the cost of implementation, the measures referred to in the first subparagraph shall ensure a level of security of network and information systems appropriate to the risks posed. When assessing the proportionality of those measures, due account shall be taken of the degree of the entity’s exposure to risks, the entity’s size and the likelihood of occurrence of incidents and their severity, including their societal and economic impact. +2. The measures referred to in paragraph 1 shall be based on an all-hazards approach that aims to protect network and information systems and the physical environment of those systems from incidents, and shall include at least the following: + +- (a) policies on risk analysis and information system security; +- (b) incident handling; +- (c) business continuity, such as backup management and disaster recovery, and crisis management; +- (d) supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers; +- (e) security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure; +- (f) policies and procedures to assess the effectiveness of cybersecurity risk-management measures; +- (g) basic cyber hygiene practices and cybersecurity training; +- (h) policies and procedures regarding the use of cryptography and, where appropriate, encryption; +- (i) human resources security, access control policies and asset management; +- (j) the use of multi-factor authentication or continuous authentication solutions, secured voice, video and text communications and secured emergency communication systems within the entity, where appropriate. diff --git a/Corpus/Standards/NIS 2 Cbw/NIS 2 Checklist artikel 21.md b/Corpus/Standards/NIS 2 Cbw/NIS 2 Checklist artikel 21 NL.md similarity index 100% rename from Corpus/Standards/NIS 2 Cbw/NIS 2 Checklist artikel 21.md rename to Corpus/Standards/NIS 2 Cbw/NIS 2 Checklist artikel 21 NL.md diff --git a/Corpus/Standards/NIS 2 Cbw/NIS 2 Index.md b/Corpus/Standards/NIS 2 Cbw/NIS 2 Index.md index 07b5e8f..00378c3 100644 --- a/Corpus/Standards/NIS 2 Cbw/NIS 2 Index.md +++ b/Corpus/Standards/NIS 2 Cbw/NIS 2 Index.md @@ -16,7 +16,7 @@ [Wetsvoorstel Cbw](Wetsvoorstel%20Cyberbeveiligingswet%20Cbw.pdf) [Blogpost - NIS 2 en de Canvas Methode](../../../Canvas%20Method/Blogpost%20-%20NIS%202%20en%20de%20Canvas%20Methode.md) -[NIS 2 Checklist artikel 21](NIS%202%20Checklist%20artikel%2021.md) +[NIS 2 Checklist artikel 21 NL](NIS%202%20Checklist%20artikel%2021%20NL.md) [NIS 2 voor Humankind](../../../Clients/Humankind/NIS%202%20voor%20Humankind.pdf) diff --git a/Corpus/Standards/NIS 2 Cbw/NIS 2 Scope.md b/Corpus/Standards/NIS 2 Cbw/NIS 2 Scope.md new file mode 100644 index 0000000..722c3d0 --- /dev/null +++ b/Corpus/Standards/NIS 2 Cbw/NIS 2 Scope.md @@ -0,0 +1,29 @@ +Here is the full list, split by annex. + +**Annex I — Sectors of High Criticality (Essential Entities)** + +1. Energy — electricity, oil, gas, hydrogen, district heating and cooling +2. Transport — air, rail, water, road +3. Banking — credit institutions +4. Financial market infrastructures — trading venues, central counterparties +5. Health — hospitals, reference laboratories, manufacturers of critical medical devices, pharmaceutical manufacturers +6. Drinking water — suppliers and distributors +7. Wastewater — collection, treatment, disposal +8. Digital infrastructure — internet exchange points, DNS providers, TLD registries, cloud computing, data centres, content delivery networks, trust service providers, electronic communications networks +9. ICT service management (B2B) — managed service providers, managed security service providers +10. Public administration — central and regional government bodies +11. Space — operators of ground-based infrastructure + +**Annex II — Other Critical Sectors (Important Entities)** + +1. Postal and courier services +2. Waste management +3. Chemicals — manufacture, production, distribution +4. Food — wholesale distribution, industrial production and processing +5. Manufacturing — medical devices, computers and electronics, electrical equipment, machinery, motor vehicles, other transport equipment +6. Digital providers — online marketplaces, online search engines, social networking platforms +7. Research organisations + +**Regardless of size — always in scope** + +DNS providers, TLD registries, trust service providers, and public electronic communications providers fall under the directive irrespective of their size. diff --git a/Corpus/Standards/NIS 2 Cbw/nis2-article21-checklist.html b/Corpus/Standards/NIS 2 Cbw/nis2-article21-checklist.html new file mode 100644 index 0000000..c12436f --- /dev/null +++ b/Corpus/Standards/NIS 2 Cbw/nis2-article21-checklist.html @@ -0,0 +1,500 @@ + + + + + +NIS2 Article 21 Checklist + + + + +
+ Progress +
+
+
+ 0 / 10 +
+ +
+
+
Directive (EU) 2022/2555 · Article 21(2)
+

NIS2 Cybersecurity Measures
Self-Assessment Checklist

+

+ The ten minimum measures required of essential and important entities under NIS2. + Use this checklist to assess your current status. Tick each item when you can demonstrate + documented, implemented, and reviewed measures — not just intent. +

+
+ +
+ +
+
+
+ Art. 21
2(a) +
+
+
+ a + Risk Analysis & Information Security Policy +
+

+ You have a documented policy covering how your organisation identifies, assesses, and manages risks to your network and information systems. The policy is approved by management, reviewed periodically, and based on a structured risk analysis — not a generic template. +

+
+
Example
+

An annual risk assessment session with department heads produces a risk register. The results inform a written information security policy, signed by the board, that is reviewed whenever significant changes occur — a new system, a new supplier, a reorganisation.

+
+
+
+ +
+
+
+ Art. 21
2(b) +
+
+
+ b + Incident Handling +
+

+ You have documented procedures for detecting, reporting, responding to, and recovering from security incidents. Staff know what constitutes an incident, who to notify, and what steps to follow. Procedures also cover the mandatory reporting obligations to national authorities under NIS2. +

+
+
Example
+

A one-page incident response procedure defines four severity levels. For significant incidents, it names the responsible person, sets a 24-hour internal escalation deadline, and references the 72-hour notification requirement to the national authority. The procedure is tested once a year in a tabletop exercise.

+
+
+
+ +
+
+
+ Art. 21
2(c) +
+
+
+ c + Business Continuity, Backup & Crisis Management +
+

+ You have a business continuity plan that covers cyber scenarios. It defines recovery time objectives (RTO) and recovery point objectives (RPO) for critical systems, documents your backup regime, and assigns responsibilities for crisis management. The plan is tested and kept current. +

+
+
Example
+

Your BCP includes a ransomware scenario: systems are unavailable for 48 hours. The plan defines which processes can continue manually, who contacts customers, and how to restore from backups. Backups are stored off-site, tested quarterly, and the maximum acceptable data loss is documented as 24 hours.

+
+
+
+ +
+
+
+ Art. 21
2(d) +
+
+
+ d + Supply Chain Security +
+

+ You assess the cybersecurity practices of your direct suppliers and service providers. You know which suppliers have access to your systems or data, what your dependency on them is, and what is contractually agreed regarding security. The security standard you apply to yourself applies equally to your supply chain. +

+
+
Example
+

You maintain a supplier register with a risk profile per vendor. Critical IT suppliers complete an annual security questionnaire. Contracts include minimum security requirements and an obligation to notify you within 24 hours of a security incident that may affect your systems.

+
+
+
+ +
+
+
+ Art. 21
2(e) +
+
+
+ e + Security in System Acquisition, Development & Maintenance +
+

+ Security requirements are built into how you procure, develop, and maintain systems — not added afterwards. This includes a process for identifying and addressing vulnerabilities in software and hardware you use, and a policy on responsible disclosure of vulnerabilities you discover. +

+
+
Example
+

Before deploying new software, your IT team runs a security review checklist. Vendors are required to provide patch timelines for known vulnerabilities. A process exists to apply critical patches within 72 hours and to track open vulnerabilities until resolved.

+
+
+
+ +
+
+
+ Art. 21
2(f) +
+
+
+ f + Effectiveness Assessment of Cybersecurity Measures +
+

+ You have a documented process to periodically evaluate whether your security measures are actually working. This is not a one-off exercise — it is a recurring review cycle (PDCA) that produces findings, decisions, and evidence. Compliance is not the goal; demonstrated effectiveness is. +

+
+
Example
+

An annual internal audit reviews a selection of security controls against the risk register. Findings are reported to the board with a remediation plan. The results of the previous year's audit are compared to track improvement over time.

+
+
+
+ +
+
+
+ Art. 21
2(g) +
+
+
+ g + Cyber Hygiene & Cybersecurity Training +
+

+ All staff are trained on basic cybersecurity practices relevant to their role. Training is recurring, not a one-off onboarding activity. You can demonstrate that training took place and that it covered current threats. A culture exists where employees feel safe reporting suspicious activity. +

+
+
Example
+

New employees complete a security awareness module within their first two weeks. All staff receive an annual refresher covering phishing, password hygiene, and what to do when something looks wrong. Participation is logged. Phishing simulations are run twice a year to test awareness in practice.

+
+
+
+ +
+
+
+ Art. 21
2(h) +
+
+
+ h + Cryptography & Encryption Policy +
+

+ You have a documented policy on the use of cryptography, covering when and how encryption is applied to data at rest and in transit. The policy specifies approved algorithms and key management practices. It is reviewed when technology or threat landscapes change. +

+
+
Example
+

Your policy states that all data classified as confidential must be encrypted at rest using AES-256, and that all external data transfers use TLS 1.2 or higher. Laptops are encrypted by default. Encryption keys are managed centrally, with access restricted to authorised personnel.

+
+
+
+ +
+
+
+ Art. 21
2(i) +
+
+
+ i + Human Resources Security, Access Control & Asset Management +
+

+ Access rights are granted on a need-to-know basis and reviewed regularly. Joiners, movers, and leavers are handled through a formal process that includes timely revocation of access. You maintain an up-to-date register of information assets and know who is responsible for each one. +

+
+
Example
+

HR notifies IT on the last day of employment. The IT checklist for leavers covers revocation of all accounts, return of devices, and a brief handover conversation about tools used. Access rights are reviewed per department every six months. A simple asset register lists systems, data classifications, and owners.

+
+
+
+ +
+
+
+ Art. 21
2(j) +
+
+
+ j + Multi-Factor Authentication & Secured Communications +
+

+ Where appropriate, multi-factor authentication (MFA) is in place for access to systems and data — particularly for remote access, privileged accounts, and critical applications. Sensitive internal communications use secured channels. Emergency communication systems are documented and tested. +

+
+
Example
+

MFA is mandatory for all remote access via VPN, all cloud applications, and all accounts with administrative privileges. A policy defines which communication channels are approved for sharing confidential information. In the event of a system outage, an offline contact list and fallback procedure exists for crisis communication.

+
+
+
+ +
+ +
+ Directive (EU) 2022/2555 · Article 21(2)(a–j) + Tick only when documented, implemented, and reviewable +
+
+ + + + + diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s01p01en - IT is not going to fix your security problem.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p01en - IT is not going to fix your security problem.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s01p01en - IT is not going to fix your security problem.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p01en - IT is not going to fix your security problem.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s01p01nl - De IT afdeling gaat jouw beveiliging niet op orde krijgen.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p01nl - De IT afdeling gaat jouw beveiliging niet op orde krijgen.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s01p01nl - De IT afdeling gaat jouw beveiliging niet op orde krijgen.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p01nl - De IT afdeling gaat jouw beveiliging niet op orde krijgen.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s01p02en - All security risks start with a decision.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p02en - All security risks start with a decision.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s01p02en - All security risks start with a decision.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p02en - All security risks start with a decision.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s01p02nl - Een beveiligingsrisico begint met een beslissing.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p02nl - Een beveiligingsrisico begint met een beslissing.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s01p02nl - Een beveiligingsrisico begint met een beslissing.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p02nl - Een beveiligingsrisico begint met een beslissing.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s01p03en - Security is a management issue.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p03en - Security is a management issue.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s01p03en - Security is a management issue.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p03en - Security is a management issue.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s01p03nl - Security is geen IT-probleem, maar een managementvraagstuk.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p03nl - Security is geen IT-probleem, maar een managementvraagstuk.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s01p03nl - Security is geen IT-probleem, maar een managementvraagstuk.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p03nl - Security is geen IT-probleem, maar een managementvraagstuk.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s01p04en - Good intentions dont scale.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p04en - Good intentions dont scale.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s01p04en - Good intentions dont scale.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s01p04en - Good intentions dont scale.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p01nl - Op 1 juli treedt de Cbw in werking.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s02p01nl - Op 1 juli treedt de Cbw in werking.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p01nl - Op 1 juli treedt de Cbw in werking.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p02nl - De Cbw vraagt om risicomanagement.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s02p02nl - De Cbw vraagt om risicomanagement.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p02nl - De Cbw vraagt om risicomanagement.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - Waar begin je?.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p03nl - Waar begin je?.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s02p03nl - Waar begin je?.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p03nl - Waar begin je?.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p04nl - Compliant en aantoonbaar.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p04nl - Compliant en aantoonbaar.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s02p04nl - Compliant en aantoonbaar.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p04nl - Compliant en aantoonbaar.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p05nl - Cbw compliance heeft geen finishlijn.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p05nl - Cbw compliance heeft geen finishlijn.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s02p05nl - Cbw compliance heeft geen finishlijn.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p05nl - Cbw compliance heeft geen finishlijn.md diff --git a/Content Factory/Marketing voor ZZP werk/Posts/s02p06nl - Bonus post Cbw en 27001.md b/marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p06nl - Bonus post Cbw en 27001.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/Posts/s02p06nl - Bonus post Cbw en 27001.md rename to marketing/Marketing voor ZZP werk/Posts/For Leadership/s02p06nl - Bonus post Cbw en 27001.md diff --git a/marketing/Marketing voor ZZP werk/Posts/For MSPs/Do you supply EU customers.md b/marketing/Marketing voor ZZP werk/Posts/For MSPs/Do you supply EU customers.md new file mode 100644 index 0000000..0118976 --- /dev/null +++ b/marketing/Marketing voor ZZP werk/Posts/For MSPs/Do you supply EU customers.md @@ -0,0 +1,18 @@ +**Do you supply EU customers in vital sectors? They will send you this checklist.** + +The EU Cybersecurity Act (NIS2) is now being implemented across member states of the European Union. One of its core requirements: supply chain responsibility. Organizations that fall under the law are legally obligated to assess the security posture of their suppliers — and to contractually enforce minimum standards. + +That means if you supply to organizations in sectors that have been marked 'essential' or 'important' — like energy, healthcare, manufacturing, food, B2B IT services and cloud computing —, your customers will be asking you to demonstrate that your information security is in order. Not as a choice, but because the law requires them to. (full list of sectors [here](../../../../Corpus/Standards/NIS%202%20Cbw/NIS%202%20Scope.md)) + +They will check for the minimum measures listed in Art. 21(2): + +- risk analysis, incident response procedures, and business continuity plans, covering cyber scenarios; +- management of effectiveness of cybersecurity measures; +- supply chain security and security in network and information systems acquisition; +- training of personnel and HR security; +- access control policies and asset management; +- cryptography, encryption, and the use of multi-factor authentication. + +You don't need to be certified. But you do need to be able to answer these questions — on paper, not just in your head. Have your answers ready! + +You can find an interactive checklist [[on our site]]. If the checklist raises any questions on how to continue, I'm happy to spend an hour with you. diff --git a/Content Factory/Marketing voor ZZP werk/agent-instructie.md b/marketing/Marketing voor ZZP werk/agent-instructie.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/agent-instructie.md rename to marketing/Marketing voor ZZP werk/agent-instructie.md diff --git a/Content Factory/Marketing voor ZZP werk/richard-context.md b/marketing/Marketing voor ZZP werk/richard-context.md similarity index 100% rename from Content Factory/Marketing voor ZZP werk/richard-context.md rename to marketing/Marketing voor ZZP werk/richard-context.md diff --git a/marketing/branding/Channels.md b/marketing/branding/Channels.md index 595662e..12479a0 100644 --- a/marketing/branding/Channels.md +++ b/marketing/branding/Channels.md @@ -21,3 +21,15 @@ https://www.reddit.com/r/ycombinator/s/LScdyyPYCm ISACA NOREA +## LinkedIn groepen +[Information Security Network](https://www.linkedin.com/groups/80784/) +[Information Security Community](https://www.linkedin.com/groups/38412/) +Startup Specialists Network Group +On Startups +Executive Suite +Small Business Network +Cloud Computing +Bestuurders Zorg en Welzijn +Dutch Health Network + +