Cbw & Wwke: alleen met ijzersterk identity management voldoe je écht aan de wet

Vanaf 2026 zijn organisaties in vitale sectoren en kritieke entiteiten verplicht om hun digitale én fysieke beveiliging aantoonbaar op orde te hebben. Dat is het gevolg van twee nieuwe wetten: de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Deze wetgeving stelt zware eisen aan onder andere zorginstellingen, energiebedrijven, overheden en datacenters. Wie niet voldoet, riskeert boetes, reputatieschade of zelfs bestuurlijke sancties. Identity management gecombineerd met effectief compliance management, vormt de sleutel om te kunnen voldoen én dat echt aan te tonen[MN1] .

Uitdaging van Cbw en Wwke: complexe eisen, onder tijdsdruk[MN2] 

De Cyberbeveiligingswet en Wet Weerbaarheid Kritieke Entiniteiten[MN3]  hebben elk een eigen focus. 

1.        De Cbw[MN4]  (gebaseerd op de NIS2-richtlijn) legt nadruk op digitale weerbaarheid en stelt eisen aan cybersecurity, informatiebeveiliging, incidentenregistratie en bestuursverantwoordelijkheid. 

2.        De Wwke (afgeleid van de CER-richtlijn) richt zich juist op fysieke veiligheid, sabotagepreventie en de continuïteit van essentiële diensten. In veel gevallen moeten organisaties aan beide wetten voldoen en dat maakt het niet eenvoudiger.

Bron: https://www.nctv.nl/onderwerpen/c/cer--en-nis2-richtlijnen/wat-zijn-de-cer-en-nis2-richtlijnen

Het tijdpad is bovendien strak. Beide wetten gaan vanaf het tweede kwartaal van 2026 in. Organisaties die onder de Wwke vallen, moeten binnen negen maanden na officiële aanwijzing een volledige risicobeoordeling uitvoeren, en zijn een maand later formeel meld- en zorgplichtig. Dat betekent: uiterlijk mei 2027 moet alles operationeel én aantoonbaar ingericht zijn. Wachten is dus geen optie.

Van papieren veiligheid naar aantoonbare [MN5] controle met identity management

Beide wetten vereisen niet alleen dat organisaties risico’s in kaart brengen en maatregelen nemen, maar ook dat ze aantonen dát ze dat hebben gedaan. Daarmee verschuift de nadruk van ‘veiligheid op papier’ naar aantoonbare controle, monitoring en bestuurlijke betrokkenheid. Identity management speelt daarin een cruciale rol, omdat het direct raakt aan de vraag: wie heeft toegang tot wat, wanneer en waarom?

Digitale en fysieke risico’s zijn dus allang geen hypothetisch scenario meer. Denk aan ransomware die zorgsystemen platlegt, phishing waarmee cybercriminelen toegang krijgen tot financiële systemen, of oud-personeel dat nog toegang heeft tot gevoelige data. 

Ook fysiek zijn er risico’s, zoals onbeveiligde toegang tot serverruimtes, leveranciers zonder screening of verloren toegangspassen die ongemerkt toegang geven tot kritieke zones. Zulke incidenten kunnen leiden tot directe verstoring van dienstverlening, financiële schade, boetes én bestuurlijke aansprakelijkheid. Met goed ingericht identity management voorkom je dat onbevoegden onterecht toegang krijgen en weet je precies wie waar verantwoordelijk voor is.

Een strategisch instrument voor governance

Vooral onder de Cbw[MN6]  is die verantwoording belangrijk: bestuurders zijn [MN7] namelijk persoonlijk verantwoordelijk voor het risicobeleid. Zij moeten aantonen dat ze toezicht houden op de uitvoering van maatregelen. Om dit goed te kunnen doen, verplicht de wet zelfs dat bestuurders over voldoende kennis beschikken, inclusief het volgen van opleidingen gericht op digitale dreigingen[DN8]  en governance. YIM helpt om risico’s inzichtelijk te maken, rapportages te genereren, e-learning processen in te richten en afwijkingen vroegtijdig te signaleren. Daarmee wordt identity management niet alleen een IT-vraagstuk, maar een strategisch governance-instrument.

Waarom identity management het fundament is voor compliance

Om te voldoen aan de Cbw[MN9]  en Wwke moet je grip hebben op identiteiten en toegang. YIM zorgt ervoor dat alleen bevoegde personen toegang hebben tot[MN10]  ruimtes, locaties en informatie. Daarnaast leg je met YIM exact vast wie op welk moment toegang had en tot welke ruimte of locatie.[MN11] [DN12]  Bijvoorbeeld tijdens grootschalige onderhoudsstops bij een bedrijf in de petrochemische industrie, of high secure-omgeving[MN13]  bij een vitale organisatie. Dat maakt het een directe bron van bewijsvoering voor audits en inspecties.

Audit ready: meer dan een vinkje zetten

Identity management werkt pas écht als het ingebed is in een breder compliance framework. Bij YIM vertalen we complexe wet- en regelgeving naar concrete actie binnen jouw organisatie. We helpen je om te begrijpen welke onderdelen van de Cbw en Wwke op jou van toepassing zijn en hoe je dat omzet in beleid, processen en technologie. Denk aan toegangsbeleid, meldprocedures, governance, maar ook aan de rol van HR en facility management. Vaak zijn de processen en stappen in het YIM platform ook direct volgens bepaalde wetgeving. 

Daarnaast zorgt YIM dat jouw organisatie ‘audit ready’ is. Dat betekent: actuele documentatie, heldere rolverdelingen, gestructureerde risicobeoordelingen en rapportages die voldoen aan wat toezichthouders vragen. We begeleiden interne audits en simulaties en ondersteunen je om de volwassenheid van jouw compliance organisatie stapsgewijs te verhogen. Daarbij is compliance geen eenmalige controle, maar een continu proces: risico’s veranderen, personeel wisselt, systemen evolueren. Wij zorgen dat jouw organisatie daarin meebeweegt en voldoet.

Voorbereiden op Cbw[MN14]  en Wwke, wat je nu kunt doen

De praktijk leert dat veel organisaties onderschatten hoeveel werk er ligt. Voorbereiding begint met inzicht: welke risico’s zijn er, hoe zijn rechten en rollen nu ingericht, welke systemen communiceren met elkaar, en waar zitten blinde vlekken? Vanuit dat inzicht bouwen we samen aan een veilige identity management-architectuur met onder andere automatische onboarding of offboarding, heldere rollenstructuren, logging van activiteiten en monitoring op compliance.

Daarbij kijken we niet alleen naar techniek, maar juist ook naar organisatie en gedrag. Training van personeel, bewustwording bij bestuurders en duidelijke meldstructuren zijn essentieel om écht te kunnen voldoen aan Cbw en Wwke. YIM zorgt dat alle onderdelen op elkaar aansluiten: van technische maatregelen tot bestuurlijke rapportages. Zo voldoe je niet alleen aan de wet, maar ben je ook voorbereid op wat er écht toe doet: veilig blijven opereren, onder alle omstandigheden.

 [MN1]en dat echt aan te tonen 

 [MN2]Tussenkoppen zou ik wat korter en scherper stellen. Suggestie: 

Uitdaging Cbw en Wwke: complexe eisen én hoge tijdsdruk

 [MN3]Ik zou de wetten hier nog één keer voluit schrijven

 [MN4]Cbw

 [MN5]aantoonbare?

 [MN6]Cbw

 [MN7]zijn

 [DN8]Er is wellicht een mooi haakje te maken naar het e-learning stuk?

 [MN9]Cbw

 [MN10]tot

 [MN11]Wat vaag. Je bedoelt hier: welke werkzaamheden er zijn verricht? 

 [DN12]Zou hier wellicht vermelden, wie op welk moment toegang had en de 'tot wat men toegang had'.

 [MN13]high secure-omgeving 

 [MN14]Cbw