Het Cbw (NIS2) Control Framework is tot stand gekomen in een gezamenlijke inspanning van de Auditdienst Rijk (ADR) en het Ministerie van Binnenlandse Zaken en in samenwerking met de Beroepsorganisatie van IT-Auditors in Nederland (NOREA). Het framework ondersteunt entiteiten bij het verkrijgen van inzicht in de mate waarin een entiteit invulling geeft aan de Cyberbeveiligingswet en het onderliggende Cyberbeveiligingsbesluit. Het doel is het versterken van de cyberweerbaarheid van entiteiten die als essentiële of belangrijke entiteit zijn aangemerkt en het bieden van handvatten om de naleving van wettelijke verplichtingen te structureren en te evalueren.

Het zip-bestand bevat het framework in .ods en .xlsx. Mogelijk werken in het .ods-bestand bepaalde functionaliteiten niet of minder goed. 

Het studierapport is opgebouwd uit drie hoofdstukken:

  1. Achtergrond van de Cbw (NIS2)-wetgeving. Bespreekt de relevante wet- en regelgeving, waaronder NIS2, de Cyberbeveiligingswet, het Cyberbeveiligingsbesluit, de Uitvoeringsverordening (EUR) 2024/2690, BIO2 en DORA, en legt uit welke verplichtingen voor organisaties gelden.
  2. Het framework nader bekeken. Beschrijft het Cbw (NIS2) Control Framework, inclusief opbouw, stappenplan, concrete beheersmaatregelen en volwassenheidsniveaus, en legt uit hoe het framework kan worden gebruikt. Ook wordt kort de facultatieve ISMS - gebaseerd op ISO/IEC 27001 - evaluatie toegelicht.
  3. Handreiking voor auditors. Legt uit hoe het framework kan worden gebruikt bij audits.