De Cyberbeveiligingswet (NIS2) is aangenomen, wat betekent dat voor jouw bedrijf?

Na jaren van uitstel en onzekerheid is het nu echt zover. Op 15 april 2026 nam de Tweede Kamer het wetsvoorstel van de Cyberbeveiligingswet aan. De behandeling in de Eerste Kamer volgt nog, maar verdere inhoudelijke vertraging wordt niet verwacht. De verwachte ingangsdatum is 1 juli 2026 en er is geen overgangstermijn.

De afgelopen jaren hebben we in onze blogs de ontwikkelingen rondom NIS2 gevolgd. Van de eerste uitleg in 2023 over welke sectoren onder de richtlijn vallen tot de gemiste deadline in 2024. Nu de wet er dan echt aankomt, leggen we graag nog een keer uit wat het is en wat het voor jouw bedrijf betekent.

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van de Europese NIS2-richtlijn. NIS2 staat voor ‘Network and Information Security 2’ en is de opvolger van de oorspronkelijke NIS1-richtlijn uit 2016. Met deze wet worden zorgplicht, meldplicht en registratieplicht voor duizenden organisaties in Nederland wettelijk verankerd.

Als jouw organisatie onder deze wet valt, krijg je te maken met drie wettelijke verplichtingen:

  1. Vanuit de zorgplicht moet je aantoonbaar technische en organisatorische maatregelen nemen om cyberrisico’s te beheersen. Je hebt ook een ketenverantwoordelijkheid. Dit betekent dat óók de beveiliging van leveranciers en partners onder jouw verantwoordelijkheid valt. Het is voor een NIS2-bedrijf een plicht om dit te controleren, en voor de toeleverancier een voorwaarde om zaken te blijven doen.
  2. Daarnaast geldt er een meldplicht. Je moet grote incidenten tijdig melden bij de toezichthouder.
  3. Tot slot is er een registratieplicht. Alle organisaties die onder de Cyberbeveiligingswet vallen moeten zich registreren. Je hebt hier na de ingangsdatum een beperkte wettelijke termijn voor.

Voor wie geldt NIS2?

De oude Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) was van toepassing op 7 sectoren. De nieuwe Cyberbeveiligingswet heeft een bredere dekking met 18 sectoren. Volgens het NCSC zijn dat zo’n 8.000 organisaties. De wet gaat onder andere gelden voor zorg, overheid, digitale aanbieders, transport, afval en chemie. Is jouw organisatie actief in één van de aangewezen sectoren én heb je 50 of meer medewerkers of een jaaromzet van minimaal €10 miljoen? Dan val je er hoogstwaarschijnlijk onder.

Organisaties die onder de wet vallen, worden ingedeeld in twee categorieën: essentiële of belangrijke entiteiten. Dat onderscheid is namelijk relevant voor het toezicht. Voor essentiële entiteiten geldt zowel proactief als reactief toezicht. Voor belangrijke organisaties geldt alleen reactief toezicht, na een incident of signaal.

Val je er niet direct onder? Dan toch opletten

Ook als jouw organisatie zelf niet onder de wet valt, kun je er wel degelijk mee te maken krijgen door de ketenverantwoordelijkheid. Als je producten of diensten levert aan NIS2-bedrijven, dan kan het zijn dat ze nu eisen dat je extra maatregelen neemt. Anders loop je het risico dat een klant het contract opzegt. De ketenverantwoordelijkheid werkt dus twee kanten op.

Wat zijn de gevolgen als je niet voldoet?

De boetes zijn aanzienlijk. Voor essentiële bedrijven tot €10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten tot €7 miljoen of 1,4% van de jaaromzet. In beide gevallen geldt het hoogste van de twee bedragen.

Maar het gaat verder dan alleen boetes. De Cyberbeveiligingswet bevat een bepaling over bestuurdersaansprakelijkheid. Bestuurders moeten de cyberbeveiligingsmaatregelen goedkeuren en toezicht houden op de uitvoering ervan, en er geldt een opleidingsplicht. Wanneer dit niet nageleefd wordt, kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Hierdoor blijft cyberveiligheid niet alleen meer een ICT-vraagstuk, maar wordt het een bestuurstaak.

Techniek is niet het enige probleem

Veel bedrijven denken bij de cyberbeveiliging meteen aan firewalls en antivirussoftware, maar de Cyberbeveiligingswet vraagt meer. Maatregelen moeten niet alleen technisch, maar ook operationeel en organisatorisch geborgd worden in de bedrijfsvoering. Voorbeelden hiervan zijn aantoonbaar beleid rondom toegangsbeheer, incidentregistratie, back-upprocedures en leveranciersrisico’s. Het belangrijkste van allemaal is documentatie die aantoont dat dit ook daadwerkelijk wordt nageleefd.

Wat kun je nu doen?

Een realistisch NIS2-compliancetraject heeft wel wat tijd nodig. Daarom is het belangrijk om zo snel mogelijk te starten, mocht je dat nog niet gedaan hebben. Hieronder geven we je vier stappen om mee te beginnen.

Stap 1: Controleer of jouw organisatie direct onder de wet valt

De Rijksinspectie Digitale Infrastructuur heeft een handige zelf-evaluatietool waarmee je snel kunt nagaan of jouw organisatie onder de wet valt. Aan de hand van de vragen die je invult krijg je een uitslag. Belangrijk om te vermelden is dat de uitkomst van de tool afhankelijk van de juistheid van de informatie die je invoert. Bij onduidelijkheid kun je gebruikmaken van de helpteksten die bij de vragen en mogelijke antwoorden staan. Ze geven uitleg en kunnen je helpen bij het invullen van de vragen.

Stap 2: Breng je huidige maatregelen in kaart

Weet je dat je onder de wet valt? Dan is de volgende stap bepalen waar je nu staat. Met de NIS2-Quickscan van de RDI toets je of de bestaande maatregelen van jouw organisatie voldoen aan de eisen uit de wet. De quickscan geeft adviezen en hulpmiddelen om stappen in de goede richting te zetten met technische of organisatorische maatregelen.

Voor een diepgaandere analyse kun je het Cbw Control Framework gebruiken, ontwikkeld door de Auditdienst Rijk, het Ministerie van Binnenlandse Zaken en NOREA. Het is een praktisch hulpmiddel dat bestuurders, ICT-verantwoordelijken en -auditors gestructureerd inzicht biedt in de Cbw en helpt om verbeterpunten te identificeren.

Stap 3: Registreer je organisatie

Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht zich te registreren in het entiteitenregister bij het NCSC. Dit kun je doen via mijn.ncsc.nl. Het NCSC heeft een checklist beschikbaar gesteld om je voor te bereiden op de registratie. Na registratie kun je aansluiten op de dienstverlening van het Computer Security Incident Response Team (CSIRT) dat bij jouw sector hoort. Dat team ondersteunt je als er iets misgaat, bijvoorbeeld bij een hack of ransomware-aanval.

Stap 4: Ga aan de slag met de zorgplicht

De Cbw schrijft minimale zorgplichtmaatregelen voor waaraan organisaties moeten voldoen. Hoe ver je daarin moet gaan, hangt af van de specifieke risico’s voor jouw organisatie. De wet hanteert namelijk een zogeheten risk-based approach. Een grondige risicoanalyse is daarom een logisch startpunt. Op de zorgplichtpagina van het NCSC vind je per maatregel verdere uitleg en hulpmiddelen.

Hoe kan SPINO helpen?

NIS2-compliancy is geen eenmalige actie en het is ook geen puur technisch vraagstuk. Het raakt beleid, processen en bestuurlijke verantwoordelijkheid. Weten NIS2 van je vraagt is één ding, weten hoe je het aanpakt is wat anders. Wij kunnen je daarom op alle drie de niveaus helpen.

Strategisch

Op strategisch niveau helpen we bestuurders met het in kaart brengen van de risico’s die aan de Cbw zijn gekoppeld. Denk hierbij aan het mappen van de NIS2-eisen naar concrete maatregelen, consultancy over hoe je het aanpakt en advies over aanvullende zaken zoals cyberverzekeringen. Cyberveiligheid is door de Cbw een bestuurstaak geworden en wij zorgen dat je als bestuur weet waar je staat.

Tactisch

Op tactisch niveau nemen helpen wij met het implementeren van de juiste maatregelen en nemen we desgewenst het beheer van ICT-risico’s voor onze rekening. Via onze IT Management as a Service dienstverlening doen we risico-inventarisaties, begeleiden we compliancy-implementaties en verzorgen we project- en changemanagement. Heeft jouw organisatie nog geen helder beleid? Dan helpen we dat via ons IT Policy Pack uit te schrijven en te implementeren in de organisatie.

Operationeel

Op operationeel niveau zorgen we voor de dagelijkse borging. Via onze MKB-dienstverlening monitoren en beheren we hard- en software, inclusief beveiliging en logging. Met ons Basic pakket worden de belangrijkste technische maatregelen geïmplementeerd en blijf jij als klant zelf verantwoordelijk. Met Complete nemen wij het grootste deel van de operationele en tactische verantwoordelijkheid over.

Wil jij weten waar jouw organisatie nu staat en wat de volgende stap is? Neem dan contact met ons op. We denken graag met je mee.

Vond je dit interessant?

Schrijf je in voor onze nieuwsbrief, mis niks en ontvang speciale aanbiedingen plus de belangrijkste ICT nieuws, tips & tricks!

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

De Cyberbeveiligingswet (NIS2) is aangenomen, wat betekent dat voor jouw bedrijf?