2025 stond in het teken van aangescherpte wetgeving en nieuwe normenkaders voor informatiebeveiliging en privacy. Organisaties kregen te maken met hogere eisen, meer verantwoordelijkheid en strengere handhaving. In deze terugblik belichten we de belangrijkste ontwikkelingen van het afgelopen jaar.
Cyberbeveiligingswet
De Europese NIS2-richtlijn is in Nederland vertaald naar de Cyberbeveiligingswet. Deze wet legt strengere eisen op aan essentiële en belangrijke entiteiten. De wet gaat naar verwachting in Q2 van 2026 in. Belangrijkste verplichtingen:
- Zorgplicht: Een organisatie moet aan kunnen tonen dat zij maatregelen heeft genomen om cyberaanvallen te voorkomen en de impact ervan te beperken.
- Meldplicht: Een organisatie is verplicht om significante incidenten te melden bij de daarvoor bevoegde autoriteit. Incidenten moeten binnen 24 uur worden gemeld.
- Registratieplicht: Elke organisatie die onder de NIS2-richtlijn valt moet geregistreerd zijn bij de daarvoor bevoegde autoriteit, het NCSC.
- Bestuurlijke verantwoordelijkheid en toezicht door de RDI. Boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet.
AI ACT
Sinds 2 augustus 2025 zijn de eerste onderdelen van de Europese AI Act van kracht. Deze wet stelt duidelijke eisen aan organisaties die AI ontwikkelen, aanbieden of gebruiken. De focus ligt op verantwoord en controleerbaar AI-gebruik. Belangrijkste verplichtingen voor organisaties:
- Governance & toezicht: duidelijke regels, menselijk toezicht inclusief, risicobeheer & datatransparantie
- Risicobeheer: inzicht in gebruikte AI en continue monitoring van risico’s
- Cybersecurity & betrouwbaarheid: veilige, nauwkeurige en betrouwbare AI-systemen
- Kwaliteitsbeheer: bewaak strikte kwaliteitsnormen gedurende de hele AI-levenscyclus
- Impactbeoordelingen: aandacht voor mensenrechten, ethiek en wetgeving
- Rollen & verantwoordelijkheden: heldere taakverdeling rondom AI binnen de organisatie
BIO2
In 2025 is voor overheidsorganisaties de BIO2 geïntroduceerd: de vernieuwde Baseline Informatiebeveiliging Overheid. Deze doorontwikkeling sluit beter aan op actuele wet- en regelgeving en versterkt de bestuurlijke verantwoordelijkheid. Wat is nieuw?
- Afstemming op Cyberbeveiligingswet (NIS2): daarmee sluit BIO2 direct aan op Europese verplichtingen voor essentiële en belangrijke entiteiten.
- In lijn met NEN-EN-ISO/IEC 27002:2022: nadruk op een expliciet risicogedreven aanpak en werken met een ISMS wordt verplicht gesteld.
- Operationalisering van de zorgplicht: dit maakt het voor toezichthouders mogelijk om objectief te toetsen of een organisatie compliant is.
- Meer bestuurlijke verantwoordelijkheid: bestuurders expliciet verantwoordelijk voor beleid, rapportages en rollen zoals de CISO
EU Data ACT
Vanaf 12 september 2025 is de Europese Data Act van toepassing. Deze verordening verandert hoe organisaties omgaan met data die ontstaat uit digitale producten en diensten, zoals slimme apparaten en voertuigen. De wet versterkt de positie van gebruikers en bevordert eerlijke datadeling. Belangrijkste uitgangpunten:
- Recht op eigen data: gebruikers krijgen toegang tot de data die zij zelf genereren
- Bescherming van mkb: waarborgen tegen oneerlijke contractvoorwaarden
- Eenvoudig overstappen: lagere drempels bij het wisselen van cloud- of softwareleveranciers
- Toegang voor overheden: alleen in uitzonderlijke noodsituaties
- Beveiliging & datasoevereiniteit: data blijft beschermd en binnen EU-kaders
DORA
De Digital Operational Resilience Act (DORA) is een Europese verordening die de digitale weerbaarheid van de financiële sector versterkt. De focus ligt op het beheersen van ICT-risico’s en het vergroten van de cyberweerbaarheid van zowel financiële instellingen als hun toeleveranciers. Belangrijkste verplichtingen:
- Verplichte en periodieke pentesten van digitale weerbaarheid.
- Incidentmelding: verplichte rapportage van ernstige IT-incidenten aan toezichthouders
- Toezicht op IT-leveranciers: grote, kritieke dienstverleners zoals cloudproviders vallen onder direct Europees toezicht
- Inzicht in ketenrisico’s: overzicht en beoordeling van gebruikte IT-toeleveranciers
- Informatiedeling: mogelijkheid om informatie over IT-incidenten veilig te delen binnen de sector