De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, treedt naar verwachting rond 1 juli 2026 in werking. Daarmee verandert er iets fundamenteels voor duizenden organisaties: cyberbeveiliging is geen vrijblijvende best practice meer, maar een wettelijke verplichting met toezicht, harde meldtermijnen en boetes die tot in de miljoenen lopen. En anders dan veel ondernemers aannemen, raakt het niet alleen banken en energiebedrijven. Een middelgroot productiebedrijf, een afvalverwerker, een ICT-dienstverlener of de vaste toeleverancier van een groot concern kan er net zo goed onder vallen.
Naar schatting vallen 8.000 tot 10.000 Nederlandse organisaties rechtstreeks onder de wet, en nog eens tienduizenden toeleveranciers krijgen er indirect mee te maken via de eisen die hun klanten doorgeven. Deze gids loopt stap voor stap door wat je moet doen: bepalen of NIS2 op jou van toepassing is, je risicobeheer op orde brengen, een meldproces inrichten en je keten beoordelen. Voor de ondernemer, IT-verantwoordelijke of bestuurder die niet in juridische taal wil verdwalen, maar wil weten welke acties tellen en in welke volgorde.
Eerst de scope: val je er eigenlijk onder?
De wet kent twee categorieën: essentiële entiteiten (zwaarder toezicht) en belangrijke entiteiten (lichter toezicht, maar dezelfde zorg- en meldplicht). In welke categorie je valt, hangt af van twee dingen samen: je sector en je omvang.
De omvangsdrempels volgen de Europese mkb-definitie. Je bent een belangrijke entiteit als je een middelgrote organisatie bent: minimaal 50 medewerkers, of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Je bent een essentiële entiteit als je een grote organisatie bent in een van de meest kritieke sectoren: vanaf 250 medewerkers, of een jaaromzet boven 50 miljoen euro en een balanstotaal boven 43 miljoen euro. Sommige organisaties vallen er bovendien onder ongeacht hun omvang, zoals aanbieders van telecomnetwerken, DNS-dienstverleners, vertrouwensdiensten en de overheid.
De sectoren zijn verdeeld over twee bijlagen. Tot de meest kritieke (bijlage 1) horen onder meer energie, transport, bankwezen, drinkwater en afvalwater, gezondheidszorg, digitale infrastructuur, het beheer van ICT-diensten en de overheid. Tot de overige kritieke sectoren (bijlage 2) horen post- en koeriersdiensten, afvalbeheer, de chemische en de levensmiddelenindustrie, een breed deel van de maakindustrie, digitale aanbieders en onderzoeksorganisaties.
Kom je er met deze hoofdlijnen niet uit, dan is de officiële NIS2-zelfevaluatie van de Rijksoverheid de snelste manier om je status te bepalen. Twijfel niet te lang: ook als je net onder de drempel zit, kan een grote klant de eisen contractueel aan je opleggen.
Wat je nodig hebt voordat je begint
Voor een serieus NIS2-traject heb je drie dingen nodig. Mandaat van het bestuur, want de wet legt de eindverantwoordelijkheid uitdrukkelijk bij de leiding en niet bij de IT-afdeling. Een actueel overzicht van je systemen en data: je kunt niet beschermen wat je niet in kaart hebt. En tijd: een realistisch implementatietraject duurt al gauw drie tot zes maanden, terwijl de overgangsperiode na inwerkingtreding kort is. Begin dus niet op de dag dat de wet ingaat.
Reken ook op terugkerende inzet, geen eenmalig project. NIS2 vraagt om een continu proces van risico's beoordelen, maatregelen bijstellen en incidenten kunnen melden. Dat ontwerp je het beste meteen goed, in plaats van het er later bovenop te plakken.
De stappen, in volgorde
In het kort: je brengt eerst je scope en je risico's in kaart, voert daarna de tien verplichte risicobeheermaatregelen uit de zorgplicht door, richt een meldproces in dat de termijnen van 24 uur, 72 uur en een maand haalt, beoordeelt je toeleveringsketen en verankert het geheel bij het bestuur. Vijf stappen, in deze volgorde.
Doorloop ze als een checklist:
1. Bepaal je scope en registreer je
Stel met de zelfevaluatie en je sector vast of je een essentiële of belangrijke entiteit bent, en leg dat onderbouwd vast. Valt je organisatie eronder, dan geldt een registratieplicht: je moet je aanmelden in het entiteitenregister via mijn.ncsc.nl. Met die registratie geef je formeel aan dat je onder de wet valt en koppel je je aan het juiste sectorale CSIRT en de bevoegde toezichthouder.
2. Voer de zorgplicht door: de tien maatregelen
De kern van de wet is de zorgplicht: passende en evenredige technische, operationele en organisatorische maatregelen om je netwerk- en informatiesystemen te beveiligen. De tien categorieën risicobeheermaatregelen die het NCSC voorschrijft vormen je feitelijke werklijst:
- Risicoanalyse en beveiligingsbeleid voor je informatiesystemen.
- Incidentbehandeling: detecteren, afhandelen en evalueren.
- Bedrijfscontinuïteit: back-upbeheer, herstelplannen en crisisbeheer.
- Beveiliging van de toeleveringsketen, inclusief de relatie met je leveranciers.
- Veilige inkoop, ontwikkeling en onderhoud van systemen, inclusief kwetsbaarhedenbeheer.
- Beleid om de effectiviteit van je maatregelen te meten.
- Cyberhygiëne en training voor medewerkers.
- Cryptografie en encryptie waar passend.
- Personeelsbeveiliging, toegangsbeleid en assetbeheer.
- Multifactor-authenticatie of continue authenticatie.
Veel hiervan is geen nieuwe kost. Een groot deel overlapt met de basismaatregelen die je in vijf lagen zelf kunt nalopen, van wachtwoordmanagers en MFA tot de 3-2-1-regel voor back-ups. NIS2 tilt diezelfde hygiëne alleen op van aanbeveling naar verplichting, met bewijslast.
3. Richt je meldproces in op de termijnen
Dit is waar veel organisaties op vastlopen, want het is een proceseis, geen tool. Bij een significant incident, een incident dat de continuïteit of de veiligheid van je dienstverlening ernstig raakt, geldt een getrapte meldplicht in drie stappen:
Binnen 24 uur een vroegtijdige waarschuwing, binnen 72 uur een melding met een eerste beoordeling, en binnen één maand een eindverslag, allemaal bij je CSIRT en toezichthouder. Een toezichthouder kan tussentijds een voortgangsverslag opvragen. Die 24 uur is kort: zorg dat je vooraf weet wie 's nachts en in het weekend mag melden, langs welk kanaal, en op basis van welke drempel je iets significant noemt. Een meldproces dat je voor het eerst tijdens een echte aanval bedenkt, haalt de termijn niet.
4. Beoordeel je toeleveringsketen
De ketenverantwoordelijkheid is het onderdeel dat het verst reikt. Je bent niet alleen verantwoordelijk voor je eigen beveiliging, maar ook voor de manier waarop je de risico's van leveranciers en dienstverleners beheerst. Breng in kaart welke partijen toegang hebben tot je systemen of data, beoordeel hun beveiliging en leg afspraken vast in je contracten. Dit werkt twee kanten op: ben je zelf toeleverancier van een entiteit die onder NIS2 valt, dan zullen die eisen via je klant alsnog bij jou terechtkomen, ook als je formeel buiten scope blijft.
5. Veranker het bij het bestuur
NIS2 maakt cyberrisico een bestuurszaak. Het bestuur moet de risicobeheermaatregelen goedkeuren, toezien op de uitvoering en zelf een training over cyberbeveiligingsrisico's volgen. De aansprakelijkheid is reëel: een bestuurder die nalaat de vereiste maatregelen goed te keuren, loopt het risico dat dit als onbehoorlijke taakvervulling in de zin van artikel 2:9 BW geldt. Leg besluiten, goedkeuringen en de onderbouwing daarom aantoonbaar vast.
Valkuilen
- "Te klein om mee te tellen." De drempel ligt lager dan gedacht, en de keteneis trekt ook kleinere toeleveranciers mee. Doe de zelfevaluatie voordat je concludeert dat je buiten schot blijft.
- NIS2 als IT-project. De wet legt de verantwoordelijkheid bij het bestuur. Wie het volledig naar de IT-afdeling delegeert, mist het governance-deel waar de aansprakelijkheid zit.
- Het meldproces pas bedenken tijdens een incident. Onder druk haal je de 24-uurstermijn niet. Oefen de meldketen, net als een ontruiming.
- Compliance op papier. Een map vol beleidsdocumenten zonder werkende maatregelen is schijnzekerheid. De wet vraagt aantoonbaar effect, geen verzameling sjablonen.
- Denken dat vereenvoudiging je werk lichter maakt. Het kabinet waarschuwt dat de Brusselse poging om NIS2 te vereenvoudigen juist meer certificeringslast kan opleveren. Wacht er niet op; begin met wat nu vaststaat.
De boetes onderstrepen waarom dit geen papieren exercitie is. Voor essentiële entiteiten loopt de maximale boete op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, het hoogste van de twee; voor belangrijke entiteiten tot 7 miljoen euro of 1,4%.
| Type entiteit | Toezicht | Maximale boete |
|---|---|---|
| Essentieel (groot, kritieke sector) | Proactief, ook zonder incident | 10 miljoen euro of 2% van de wereldwijde jaaromzet |
| Belangrijk (middelgroot) | Reactief, na een signaal of incident | 7 miljoen euro of 1,4% van de wereldwijde jaaromzet |
Kant-en-klaar vs. maatwerk
Voor de uitvoering zijn er grofweg drie wegen, die elkaar prima aanvullen.
| Aanpak | Wat het is | Past bij | Let op |
|---|---|---|---|
| Standaard GRC- of compliance-tooling | Een platform dat de zorgplicht-maatregelen, het beleid en de auditlogs structureert | Organisaties die vooral structuur en bewijslast missen | Een tool dekt het papierwerk, niet de techniek; je moet de maatregelen nog echt doorvoeren |
| Externe consultant of audit | Iemand die je scope, gap-analyse en beleid eenmalig inricht | Wie snel een onderbouwd startpunt en een onafhankelijke blik wil | Kennis verdwijnt weer als ze vertrekken; borg dat het in je eigen proces landt |
| Maatwerk in je eigen systemen | Detectie, logging, MFA en meldworkflows ingebouwd in de tools die je al gebruikt | Wie de eisen wil laten meelopen in bestaande processen, niet ernaast | Vraagt ontwerp- en bouwwerk vooraf, maar voorkomt een tweede los systeem dat niemand bijhoudt |
De meeste organisaties combineren: een tool voor de administratie, eventueel een consultant voor de eerste gap-analyse, en maatwerk waar de eisen in je echte werk moeten landen. Het meldproces, bijvoorbeeld, is zelden af met een standaardformulier; het moet aansluiten op je eigen monitoring en je mensen. Datzelfde geldt voor continuïteit: een back-up is pas een herstelplan als je het ontwerpt, want continuïteit na een cyberaanval ontwerp je vooraf in plaats van hem achteraf te kopen.
NIS2 voelt als een last, en deels is dat ook zo. Maar de maatregelen die de wet eist, zijn grotendeels de maatregelen die je sowieso zou willen hebben: weten wat je hebt draaien, je leveranciers kennen, een incident kunnen overleven. De wet is daarmee minder een nieuwe horde dan een deadline voor iets dat al lang verstandig was. Wie de scope-check nu doet en de stappen in volgorde zet, heeft straks geen paniektraject nodig, maar een organisatie die een incident gewoon aankan. En dat laatste is, deadline of niet, de eigenlijke winst.
Veelgestelde vragen
NIS2 in je systemen laten landen
Ik help je de zorgplicht en het meldproces niet naast je werk te zetten maar erin: van scope-check en gap-analyse tot detectie, logging en meldworkflows ingebouwd in de tools die je al gebruikt. Ik denk mee, ontwerp en bouw het end-to-end.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
