Voor het eerst in jaren krijgt cybersecurity in Nederland een harde, wettelijke ondergrens. De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, is op 15 april 2026 door de Tweede Kamer aangenomen en ligt nu bij de Eerste Kamer. Als die instemt, treedt de wet naar verwachting op 1 juli 2026 in werking. Voor veel organisaties betekent dat een omslag: beveiliging is niet langer een interne ambitie, maar een aantoonbare verplichting waar een toezichthouder op kan handhaven.
De grootste valkuil die wij in de praktijk zien, is dat organisaties NIS2 benaderen als een compliance-oefening. Een map met beleidsdocumenten, een afgevinkte checklist en klaar. Dat is begrijpelijk, maar het mist de kern. De wet vraagt niet om papier, maar om aantoonbare weerbaarheid. In dit artikel lees je wat er feitelijk verandert, of je eronder valt, en hoe je de invoering gebruikt om je organisatie daadwerkelijk sterker te maken.
Valt je organisatie onder de wet?
De Cyberbeveiligingswet maakt onderscheid tussen essentiële en belangrijke entiteiten. Het verschil zit vooral in de zwaarte van het toezicht, niet in de inhoud van de verplichtingen.
Je valt automatisch onder de wet als je organisatie actief is in een aangewezen sector en boven de drempel van het MKB uitkomt. Grofweg gaat het om grote organisaties met meer dan 250 medewerkers of een jaaromzet boven 50 miljoen euro, die als essentiële entiteit worden aangemerkt, en om middelgrote organisaties vanaf ongeveer 50 medewerkers of 10 miljoen euro omzet, die als belangrijke entiteit gelden. De sectoren zijn fors uitgebreid ten opzichte van de oude wetgeving en omvatten onder meer energie, transport, gezondheidszorg, digitale infrastructuur, levensmiddelen, afvalbeheer en aanbieders van digitale diensten.
Belangrijk om te beseffen: ook als je organisatie zelf niet onder de wet valt, kun je er via je klanten alsnog mee te maken krijgen. Organisaties die wel onder NIS2 vallen, moeten namelijk de risico's in hun toeleveringsketen beheersen. Dat betekent dat zij eisen gaan stellen aan hún leveranciers. Een MKB-bedrijf dat software of diensten levert aan een ziekenhuis of energiebedrijf merkt de wet dus indirect, in de vorm van strengere inkoopvoorwaarden en security-audits.
De drie kernverplichtingen
De wet draait om drie samenhangende plichten. Wie die begrijpt, begrijpt het grootste deel van NIS2.
De eerste is de registratieplicht. Organisaties die onder de wet vallen, registreren zich bij het Nationaal Cyber Security Centrum via mijn.ncsc.nl. Na registratie krijg je toegang tot de diensten van het sectorale CSIRT, het team dat ondersteunt bij incidenten en dreigingen.
De tweede en zwaarste is de zorgplicht. Je bent verplicht passende technische, operationele en organisatorische maatregelen te nemen om risico's voor je netwerk- en informatiesystemen te beheersen. De wet werkt dit uit in een set van minimaal tien onderwerpen, waaronder risicoanalyse, beveiliging van systemen, incidentafhandeling, back-up- en herstelbeleid, beveiliging van de toeleveringsketen en het beoordelen van de effectiviteit van de maatregelen. De norm is risicogebaseerd: een ziekenhuis moet meer doen dan een afvalverwerker, en dat is precies de bedoeling.
De derde is de meldplicht. Een significant incident, dat wil zeggen een incident dat je dienstverlening serieus verstoort, moet je zo snel mogelijk en in elk geval binnen 24 uur melden bij je CSIRT en de toezichthouder. Daarna volgt binnen 72 uur een uitgebreidere melding en uiteindelijk een eindrapportage. Die korte termijn van 24 uur is voor veel organisaties confronterend, want hij dwingt je om vooraf na te denken over detectie en escalatie. Een incident dat je pas na twee weken ontdekt, kun je immers niet binnen een dag melden.
Het bestuur is verantwoordelijk, niet alleen de IT-afdeling
Een van de meest onderschatte onderdelen van NIS2 is de positionering van verantwoordelijkheid. De richtlijn legt de verantwoordelijkheid voor de weerbaarheid van de organisatie nadrukkelijk bij het bestuur. Bestuurders moeten beslissingen over informatiebeveiliging goedkeuren en moeten voldoende kennis hebben om weloverwogen keuzes te kunnen maken.
In de praktijk betekent dit dat cybersecurity een agendapunt wordt in de directiekamer, niet alleen in het overleg van de IT-afdeling. Bestuurders kunnen bij grove nalatigheid persoonlijk aansprakelijk worden gehouden voor schade. Dat is geen volledig nieuw fenomeen, maar NIS2 maakt het expliciet en zichtbaar. Voor directies zonder diepe IT-achtergrond is dat een belangrijk signaal: je hoeft geen techneut te worden, maar je moet wel kunnen uitleggen welke risico's je accepteert en welke maatregelen daar tegenover staan.
Van checklist naar weerbaarheid
Hier ligt het werkelijke onderscheid tussen organisaties die NIS2 als last ervaren en organisaties die er sterker uit komen. De wet beschrijft een minimumniveau, maar de echte winst zit in de manier waarop je de eisen invult.
Begin met een eerlijke nulmeting. Breng in kaart welke systemen en data bedrijfskritisch zijn, welke risico's daar spelen en welke maatregelen je vandaag al hebt. In bijna elke organisatie levert die oefening verrassingen op: vergeten servers, leveranciers met te ruime toegang, back-ups die nooit getest zijn op herstel. Dat inzicht is op zichzelf al waardevol, los van de wet.
Werk vervolgens toe naar een beheerst proces in plaats van een eenmalig project. Risicomanagement, incidentrespons en het testen van back-ups zijn geen activiteiten die je één keer afrondt, maar terugkerende ritmes. Een herstelplan dat in een la ligt, helpt je niet op het moment dat het misgaat. Een herstelplan dat je twee keer per jaar oefent, wel.
Besteed daarnaast serieuze aandacht aan je toeleveringsketen. Een groot deel van de incidenten van de afgelopen jaren ontstond niet bij de organisatie zelf, maar bij een leverancier. Weet je welke partijen toegang hebben tot je systemen, en onder welke voorwaarden? NIS2 dwingt je die vraag te stellen, en dat is terecht.
Wat je nu kunt doen
De inwerkingtreding komt dichtbij, maar de toezichthouder verwacht geen perfectie op dag één. Verwacht wordt dat je aantoonbaar passende maatregelen hebt genomen en dat je een realistisch plan hebt voor wat nog niet af is. Het ergste wat je kunt doen, is afwachten.
Drie concrete stappen die nu al waarde opleveren: bepaal of en hoe je onder de wet valt, voer een nulmeting uit op je belangrijkste systemen, en beleg cybersecurity expliciet op bestuursniveau. Die stappen vragen geen grote investering, maar leggen het fundament waarop alle verdere maatregelen rusten.
NIS2 is uiteindelijk geen IT-project, maar een bestuurlijke keuze over hoeveel risico je organisatie wil lopen. Onze ervaring is dat organisaties die het zo benaderen, niet alleen voldoen aan de wet, maar er ook rustiger van slapen. Weerbaarheid is geen document. Het is een gewoonte.
Wil je weten of je organisatie onder de Cyberbeveiligingswet valt, en wat een verstandige eerste stap is? We denken graag vrijblijvend met je mee.
