Toenemende digitale risico’s dwingen de overheid ertoe een grotere rol te pakken in de veiligheid van onze digitale infrastructuur. Dat concludeerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in 2019. De Wet Beveiliging Netwerk- en Informatiesystemen (WNBI) is van die grotere rol een eerste, belangrijke uiting. Met de focus op het creëren van een ‘risico-managementcultuur’, vereist de WBNI dat organisaties in de vitale infrastructuur een minimum niveau van digitale beveiliging borgen. De continuïteit van onze organisaties is immers niet alleen in het belang van deze (commerciële) organisaties zelf, maar van ons allemaal. Het succes van de WBNI wordt echter mede bepaald door de opstelling van private organisaties én de overheid. Het risico bestaat dat private organisaties de WBNI beschouwen als een compliance oefening in plaats van een actiegerichte oproep om de security volwassenheid te vergroten. De vraag is dan ook: hoe zorgen we ervoor dat de WBNI de drijvende kracht wordt om de cybersecurityvolwassenheid te versnellen binnen de nationale kritieke infrastructuur? Op die kwestie gaat dit artikel dieper in.