De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, staat op het punt in werking te treden. Op 15 april 2026 stemde de Tweede Kamer in met het wetsvoorstel. De wet ligt nu ter goedkeuring voor aan de Eerste Kamer, met 1 juli 2026 als verwachte ingangsdatum. Wie nu nog denkt dat dit ver weg is, rekent verkeerd.
Veel directeuren en bestuurders weten dat NIS2 bestaat. Veel minder weten wat er concreet van hen wordt gevraagd zodra de wet ingaat. Dat onderscheid is belangrijk, want NIS2 is geen technische checklist die je aan de IT-afdeling kunt overdragen. Het is een wet die bestuurders persoonlijk verantwoordelijk maakt.
Twee wetten, niet één
Wat in de discussie over NIS2 vaak ondersneeuwt: de Tweede Kamer stemde op 15 april niet in met één, maar met twee wetsvoorstellen. Naast de Cyberbeveiligingswet (Cbw) is ook de Wet weerbaarheid kritieke entiteiten (Wwke) aangenomen, de Nederlandse implementatie van de Europese CER-richtlijn.
Waar de Cbw zich richt op digitale weerbaarheid, gaat de Wwke over fysieke weerbaarheid: de continuïteit van organisaties die essentiële diensten leveren, zoals energie, water, transport en zorg. Een belangrijk verschil met de Cbw: bij de Wwke bepaal je niet zelf of je onder de wet valt. De verantwoordelijke minister wijst organisaties aan. De regering streeft ernaar beide wetten gelijktijdig in werking te laten treden.
Voor wie geldt dit eigenlijk?
NIS2 onderscheidt twee categorieën organisaties: essentiële entiteiten en belangrijke entiteiten. Het verschil zit in de sector en de omvang van de organisatie. Essentiële entiteiten zitten in sectoren zoals energie, transport, drinkwater, bankwezen, financiële marktinfrastructuur, zorg en digitale infrastructuur. Belangrijke entiteiten zitten onder andere in postdiensten, afvalbeheer, chemie, voedsel, productie van bepaalde goederen en digitale dienstverlening.
Binnen die sectoren geldt de wet in de regel voor middelgrote en grote organisaties: vanaf 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Kleinere organisaties kunnen alsnog onder de wet vallen als ze een kritieke rol spelen in hun sector.
Er is nog een derde groep die vaak wordt onderschat: leveranciers. Als jouw organisatie diensten levert aan een partij die onder NIS2 valt, ga je er gegarandeerd mee te maken krijgen. Niet via de wet zelf, maar via de eisen die je klant aan jou gaat stellen. De keten is zo sterk als de zwakste schakel, en die gedachte staat letterlijk aan de basis van de richtlijn.
Twijfel je of jouw organisatie onder de wet valt? De Rijksoverheid heeft hiervoor de NIS2 Zelfevaluatie gelanceerd, waarmee je zelf kunt nagaan aan welke verplichtingen je moet voldoen.
Wat de wet daadwerkelijk vraagt
NIS2 draait om drie verplichtingen: een zorgplicht, een meldplicht en een registratieplicht.
Zorgplicht
De zorgplicht houdt in dat je een risicobeoordeling uitvoert en op basis daarvan passende technische, organisatorische en operationele maatregelen neemt. Dat klinkt abstract, maar het komt neer op een aantal concrete stappen: weten welke systemen en gegevens kwetsbaar zijn, weten wat de gevolgen zijn als die uitvallen of worden gestolen, en vervolgens maatregelen nemen die in verhouding staan tot dat risico.
Dit is geen eenmalige exercitie. De zorgplicht is doorlopend: risico’s veranderen, dus de beoordeling en de maatregelen moeten meebewegen.
Meldplicht
Bij een significant incident geldt een strikte meldtermijn. Een eerste melding moet binnen 24 uur bij de toezichthouder liggen, gevolgd door een uitgebreidere melding binnen 72 uur. Dat is fors sneller dan veel organisaties nu gewend zijn, en het vraagt om een proces dat al klaarstaat voordat er iets misgaat. Een incidentresponsplan dat pas tijdens de crisis wordt opgesteld, voldoet niet.
Registratieplicht
Organisaties die onder de wet vallen, moeten zich registreren bij de toezichthouder. Die registratie geeft de overheid zicht op welke partijen onder de wet vallen en hoe de digitale weerbaarheid er sectorbreed voor staat.
De bestuurlijke verantwoordelijkheid: dit is het deel dat vaak wordt gemist
Het meest onderschatte element van NIS2 is de positie van het bestuur. De wet legt de verantwoordelijkheid voor cyberrisico’s niet bij de IT-afdeling, maar bij het bestuur als geheel. Dat betekent in de praktijk drie dingen.
Ten eerste: bestuurders moeten de genomen maatregelen goedkeuren en toezicht houden op de uitvoering. Niet aftekenen omdat de IT-manager het vraagt, maar daadwerkelijk begrijpen wat er speelt en een afgewogen besluit nemen.
Ten tweede: er geldt een verplichte trainingsplicht voor bestuurders. Je moet als bestuur voldoende kennis hebben om de risico’s en de genomen maatregelen te kunnen beoordelen. Onwetendheid is geen verdediging.
Ten derde, en dit is de kern: bij onvoldoende naleving kan het bestuur persoonlijk aansprakelijk worden gesteld. In ernstige gevallen kan dat leiden tot een bestuursverbod. Daarnaast kunnen de boetes voor de organisatie zelf oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger uitvalt. Dit verschuift cybersecurity van een operationeel onderwerp naar een boardroom-onderwerp.
Hoe ver moet je gaan?
Een veelgestelde vraag is hoeveel een organisatie precies moet doen om te voldoen. Er is geen vaste checklist die voor elke organisatie hetzelfde is, want NIS2 werkt met het principe van passendheid: de maatregelen moeten in verhouding staan tot het risico, de omvang en de aard van de organisatie.
Wat in de praktijk wel als basis geldt:
- Een actuele risicobeoordeling van systemen en gegevens
- Toegangsbeheer en multifactorauthenticatie voor kritieke systemen
- Een werkend incidentresponsplan, inclusief geoefende meldprocedures
- Beleid voor leveranciersbeheer en ketenrisico’s
- Bewustwording en training, ook op bestuursniveau
- Encryptie van gevoelige gegevens
- Een proces voor het structureel evalueren en bijstellen van maatregelen
Organisaties die al werken met ISO 27001 hebben een voorsprong. De normen overlappen voor een groot deel, en een goed ingericht informatiebeveiligingsmanagementsysteem dekt veel van wat NIS2 vraagt.
Waarom nu beginnen, ook al is de wet nog niet officieel in werking
Een redenering die je vaak hoort: de wet is er nog niet, dus we wachten tot die er is. Dat is om twee redenen riskant.
De eerste reden is praktisch. De meeste organisaties hebben vier tot zes maanden nodig om hun cybersecurity en leveranciersbeheer op het vereiste niveau te krijgen. Wie wacht tot de wet ingaat, begint te laat.
De tweede reden is inhoudelijk. Een aantal recente incidenten in Nederland, waaronder grootschalige datalekken bij organisaties die met de overheid samenwerken, laat zien dat het risico niet wacht op wetgeving. Minister Van Weel verwoordde het bij de stemming in de Tweede Kamer treffend: de dreiging van cyberaanvallen en verstoringen is geen abstract risico meer, maar dagelijkse realiteit. De wet is uitgesteld, het risico niet.
Drie vragen om mee te beginnen
- Vallen wij onder de Cyberbeveiligingswet, direct of als leverancier? Bepaal je sector, omvang en positie in de keten. Dit is het startpunt van elke verdere stap.
- Hebben we een actuele risicobeoordeling? Niet een document van drie jaar geleden, maar een beoordeling die de huidige situatie weerspiegelt en die regelmatig wordt bijgewerkt.
- Kan ons bestuur uitleggen welke risico’s we lopen en welke maatregelen we daarvoor hebben genomen? Als het antwoord nee is, ligt daar de eerste prioriteit. Niet bij een nieuwe tool, maar bij bestuurlijke kennis en betrokkenheid.
Wat RiskGuard hierin doet
RiskGuard helpt organisaties NIS2 vertalen naar een praktisch en haalbaar plan. We voeren risicobeoordelingen uit, beoordelen of bestaande maatregelen voldoende zijn, en ondersteunen bij het inrichten van een proces voor leveranciersbeheer en incidentrespons dat aansluit op wat de wet vraagt.
Wil je weten of jouw organisatie onder de Cyberbeveiligingswet valt en waar je nu zou moeten beginnen? Neem contact op voor een vrijblijvend gesprek.
Benieuwd hoe jouw organisatie scoort?
Doe de gratis zelfscan en ontdek waar de risico's zitten.
