De Tweede Kamer heeft de Cyberbeveiligingswet aangenomen.
Negen dagen geleden, 15 april.
De Eerste Kamer volgt. Inwerkingtreding: Q2 2026.

Maar hier zit het punt dat veel organisaties nog niet scherp hebben: onder de Cbw wordt cybersecurity expliciet een bestuurstaak.

Bestuurders kunnen persoonlijk aansprakelijk worden gesteld.
Niet de CISO. Niet IT. Het bestuur.

En wat gaat die bestuurder doen als de toezichthouder langskomt?
Die wil geen PowerPoint met groene vinkjes. Die wil zien dat risico's, maatregelen en eigenaarschap herleidbaar zijn vastgelegd.

Dat keuzes onderbouwd zijn.
Dat er een lopend proces is, geen jaarlijkse opfrisbeurt.

Bij de meeste organisaties die ik spreek is die informatie er wel.
Verspreid over vier of vijf systemen, met een ISO die het met handwerk bij elkaar houdt.

Dat werkt, tot iemand doorvraagt op een specifieke maatregel. Dan blijkt hoeveel er op persoonlijke kennis leunt.

IRM360 maakt die samenhang structureel. Risico's, maatregelen, bewijslast en normcompliance in één PDCA-cyclus, zodat aantoonbaarheid geen project is maar een bijproduct van hoe je werkt.

De Cbw is geen toekomstmuziek meer. De vraag is niet óf je eronder valt, maar of je kunt laten zien dat je het beheerst.