3 min read
2 min read
Nieuwe cyberwetgeving maakt security awareness urgenter dan ooit
Lennart Savert Jul 19, 2026 7:06:20 AM
De digitale weerbaarheid van Nederlandse organisaties krijgt vanaf 15 augustus 2026 een steviger wettelijk fundament. Op die datum treden de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, en de Wet weerbaarheid kritieke entiteiten in werking. De nieuwe verplichtingen op het gebied van cyberbeveiliging gaan gelden voor ruim 8.000 organisaties in Nederland.
De boodschap achter deze wetgeving is helder: cybersecurity is niet langer uitsluitend een technisch vraagstuk voor de IT-afdeling. Het is een organisatiebrede verantwoordelijkheid, waarbij ook het bestuur nadrukkelijk aan zet is. Bestuurders worden verantwoordelijk voor beslissingen over netwerk- en informatiebeveiliging en moeten over voldoende kennis beschikken om daarin weloverwogen keuzes te maken.
Digitale weerbaarheid begint bij dagelijks gedrag
Organisaties investeren terecht in technische beveiliging, zoals firewalls, toegangsbeheer en detectiesystemen. Maar zelfs de beste technologie kan niet iedere verkeerde klik, onbedoelde gegevensdeling of overtuigende phishingmail voorkomen.
Cybercriminelen richten zich daarom steeds vaker op de mens achter het systeem. Ze maken gebruik van tijdsdruk, vertrouwen, nieuwsgierigheid en routine. Een medewerker hoeft maar één verdachte situatie niet te herkennen om een aanvaller toegang te geven tot gegevens of systemen.
Security awareness is daarom geen aanvulling op technische beveiliging, maar een essentieel onderdeel ervan. Medewerkers moeten weten welke risico’s zij in hun dagelijkse werk tegenkomen, hoe ze verdachte situaties herkennen en wat ze vervolgens moeten doen.
Van jaarlijks vinkje naar structurele bewustwording
Een eenmalige training of jaarlijkse e-learning is meestal niet genoeg om veilig gedrag blijvend te veranderen. Kennis zakt weg en cyberdreigingen ontwikkelen zich voortdurend. Bewustwording werkt vooral wanneer medewerkers regelmatig oefenen met korte, herkenbare situaties.
Effectieve security awareness draait dan ook om herhaling. Door medewerkers gedurende het jaar actief te betrekken, wordt veilig digitaal werken steeds meer een gewoonte. Niet omdat het moet van de wet of van de IT-afdeling, maar omdat medewerkers begrijpen welke rol zij zelf spelen in de bescherming van de organisatie.
Daarbij is het belangrijk dat awareness niet wordt ervaren als een zware verplichting. Training moet laagdrempelig, relevant en goed inpasbaar zijn in de werkweek. Alleen dan ontstaat brede deelname en wordt cybersecurity onderdeel van de organisatiecultuur.
Awareness moet ook aantoonbaar en meetbaar zijn
Met de komst van de Cyberbeveiligingswet neemt ook het belang van aantoonbaarheid toe. Organisaties moeten niet alleen maatregelen nemen, maar ook inzicht hebben in de werking daarvan. De wetgeving bevat onder meer een zorgplicht en een expliciete trainingsplicht voor bestuurders.
Voor security awareness betekent dit dat organisaties verder moeten kijken dan het versturen van een uitnodiging voor een training. Het gaat om vragen als:
- Nemen medewerkers daadwerkelijk deel?
- Welke onderwerpen vragen extra aandacht?
- Herkennen medewerkers phishing en andere vormen van misleiding?
- Verbetert het bewustzijn door de tijd heen?
- Waar bevinden zich nog risico’s binnen de organisatie?
Door deelname, resultaten en ontwikkelingen inzichtelijk te maken, kan awareness gericht worden verbeterd. Zo ontstaat een continu proces van trainen, meten en bijsturen.
Security awareness met Guardey
IRIS one helpt organisaties om security awareness structureel en laagdrempelig in te richten met Guardey. Dit awarenessprogramma maakt veilig digitaal gedrag toegankelijk door medewerkers regelmatig korte challenges aan te bieden.
In plaats van lange, verplichte leertrajecten krijgen medewerkers iedere week een compacte uitdaging die aansluit op herkenbare situaties uit de praktijk. Zo leren zij stap voor stap veiliger omgaan met e-mail, gegevens, wachtwoorden en andere digitale risico’s.
Het programma bestaat onder meer uit:
- korte, wekelijkse awareness-challenges;
- phishing-simulaties om risico’s zichtbaar en bespreekbaar te maken;
- een eigen portal met inzicht in deelname, resultaten en trends;
- begeleiding bij de introductie en adoptie binnen de organisatie;
- periodieke rapportages en besprekingen van verbeterpunten.
Hierdoor wordt security awareness geen los project of jaarlijks controlemoment, maar een doorlopend onderdeel van het werk.

Wacht niet tot 15 augustus
Hoewel de nieuwe wetten op 15 augustus 2026 in werking treden, bestaan de digitale risico’s vandaag al. Ook de overheid roept organisaties daarom op om niet op de formele ingangsdatum te wachten, maar zich nu al voor te bereiden.
Een sterke securitycultuur ontstaat bovendien niet van de ene op de andere dag. Medewerkers hebben tijd, herhaling en begeleiding nodig om nieuw gedrag aan te leren. Organisaties die nu beginnen, zijn straks niet alleen beter voorbereid op de Cyberbeveiligingswet, maar vooral beter bestand tegen de dagelijkse realiteit van digitale dreigingen.
Benieuwd hoe je security awareness praktisch en structureel binnen jouw organisatie kunt organiseren? IRIS one denkt graag mee over een aanpak die past bij jullie medewerkers, risico’s en ambities. Plan een vrijblijvend adviesgesprek in om de mogelijkheden voor jouw organisatie te verkennen.

