Nederlands cloud. Menselijke support.

NIS2 en de Cyberbeveiligingswet: wat verandert er in 2026?

Op 17 oktober 2024 had de Cyberbeveiligingswet al in werking moeten zijn. Nederland haalde die deadline niet. Duitsland en Belgie wel. Nu, anderhalf jaar later, wordt de wet behandeld in de Tweede Kamer. De verwachte inwerkingtreding: 1 juli 2026.

Voor veel organisaties voelt dat nog ver weg. Het is het niet. De meeste bedrijven hebben vier tot zes maanden nodig om hun cybersecurity en leveranciersbeheer op het vereiste niveau te brengen. Wie op 1 juli wil voldoen, moet nu beginnen.

NIS2 en de Cyberbeveiligingswet: wat is het verschil?

NIS2 is de Europese richtlijn. De Cyberbeveiligingswet is de Nederlandse wet die deze richtlijn implementeert. Het verschil is relevant, want de Nederlandse wet kan op punten strenger of specifieker zijn dan de richtlijn zelf. De kern is hetzelfde: organisaties in kritieke en belangrijke sectoren moeten hun cyberbeveiliging structureel op orde hebben.

De eerste NIS-richtlijn (2016) gold voor een beperkte groep, vooral grote energie- en waterbedrijven, ziekenhuizen en financiele instellingen. NIS2 trekt de grens veel breder. De richtlijn onderscheidt twee categorieen: essentieel en belangrijk. Dat onderscheid bepaalt de zwaarte van het toezicht en de hoogte van mogelijke boetes.

Val jij eronder?

NIS2 gebruikt een size-cap: organisaties met meer dan 50 werknemers of meer dan 10 miljoen euro jaaromzet in een van de aangewezen sectoren vallen automatisch onder de wet. Maar ook kleinere organisaties kunnen eronder vallen als ze een kritieke rol vervullen.

De sectoren zijn breed. Essentieel: energie, transport, bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (waaronder datacenters, DNS-dienstverleners, cloudproviders), ICT-dienstverlening (managed service providers), overheid en ruimtevaart.

Belangrijk: post- en koeriersdiensten, afvalbeheer, chemie, voedselproductie en -distributie, maakindustrie, digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken) en onderzoeksorganisaties.

Let op die categorie "digitale infrastructuur". Datacenters, hostingproviders, managed service providers en managed security service providers vallen expliciet onder NIS2 als essentieel. Dat is nieuw. Onder de oude NIS-richtlijn vielen de meeste van deze partijen er niet onder.

NIS2: essentieel vs. belangrijk

Essentieel
Energie
Transport
Bankwezen
Gezondheidszorg
Drinkwater & afvalwater
Digitale infrastructuur
ICT-dienstverlening (MSP)
Overheid
Ruimtevaart
Boete: tot €10M of 2% jaaromzet
Proactief toezicht
Belangrijk
Post & koeriersdiensten
Afvalbeheer
Chemie
Voedselproductie
Maakindustrie
Medische hulpmiddelen
Elektronica & computers
Digitale aanbieders
Onderzoek
Boete: tot €7M of 1,4% jaaromzet
Reactief toezicht
Size-cap: >50 werknemers of >€10M omzet in een aangewezen sector = automatisch onder NIS2. Kleinere organisaties kunnen ook vallen als ze een kritieke rol vervullen.

Bron: Richtlijn (EU) 2022/2555, Art. 3 · Cyberbeveiligingswet (wetsvoorstel 36.764)

De drie pijlers: zorgplicht, meldplicht, registratieplicht

Zorgplicht

Organisaties moeten passende en evenredige technische en organisatorische maatregelen nemen. Dat klinkt vaag, maar de wet werkt het concreet uit in tien minimummaatregelen:

  • Risicoanalyse en beveiligingsbeleid
  • Incidentafhandeling
  • Bedrijfscontinuïteit en crisisbeheer
  • Beveiliging van de toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
  • Beleid en procedures om de effectiviteit van maatregelen te beoordelen
  • Basispraktijken voor cyberhygiëne en opleiding
  • Beleid voor het gebruik van cryptografie en encryptie
  • Beveiliging van personeel, toegangsbeleid en asset management
  • Gebruik van multifactorauthenticatie en beveiligde communicatie

Dat is geen menukaart waaruit je kiest. Het zijn tien verplichte aandachtsgebieden. De precieze invulling hangt af van je sector en omvang, maar je moet op elk punt iets kunnen laten zien.

Meldplicht

Bij een significant cyberincident moet je in drie stappen melden. Eerst een vroegtijdige waarschuwing bij het NCSC (Nationaal Cyber Security Centrum) binnen 24 uur. Dan een vervolgmelding binnen 72 uur met aanvullende informatie. En tot slot een eindverslag binnen een maand. "Significant" wordt bepaald door factoren als het aantal geraakte personen, de duur van de verstoring en de mogelijke financiele schade.

Let op het verschil met de AVG-meldplicht. Die 72-uursregel bij datalekken loopt via de Autoriteit Persoonsgegevens. De NIS2-meldplicht loopt via het NCSC. Bij een cyberincident waarbij ook persoonsgegevens lekken, moet je op twee plekken melden.

Registratieplicht

Organisaties die onder de wet vallen moeten zich registreren bij het NCSC. Dat kan al op vrijwillige basis. Na inwerkingtreding wordt het verplicht. Het voordeel van registratie: je ontvangt informatie over actuele cyberdreigingen die relevant zijn voor jouw sector.

Bestuurders worden persoonlijk aansprakelijk

Dit is het punt waar het voor veel directies concreet wordt. De Cyberbeveiligingswet bevat een bepaling over bestuurdersaansprakelijkheid. Bestuurders moeten de cyberbeveiligingsmaatregelen goedkeuren en toezicht houden op de uitvoering ervan. Er is ook een opleidingsplicht: bestuurders moeten voldoende kennis hebben om die goedkeuring weloverwogen te geven.

Bij niet-naleving kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Dat gaat verder dan de organisatie beboeten. Het raakt individuele bestuurders. Voor essentiele entiteiten kan het toezicht zelfs proactief zijn: de toezichthouder hoeft niet te wachten op een incident, maar kan op eigen initiatief inspecteren.

De boetes zijn substantieel. Voor essentiele entiteiten: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten: tot 7 miljoen euro of 1,4% van de jaaromzet.

Wat betekent dit voor je hostingkeuze?

De zorgplicht omvat expliciet de beveiliging van de toeleveringsketen. Dat betekent dat je niet alleen je eigen systemen op orde moet hebben, maar ook moet kunnen aantonen dat je leveranciers, waaronder je hostingprovider, aan adequate beveiligingseisen voldoen.

Concreet: je moet kunnen laten zien dat je bij de selectie van je provider de cyberbeveiligingsrisico's hebt meegewogen. Dat je contractuele afspraken hebt over incidentmelding. Dat je provider zelf ook een risicoanalyse heeft gedaan en passende maatregelen heeft getroffen.

Als je provider een managed service provider (MSP) is, valt die zelf ook onder NIS2 als essentiele entiteit. Dat is gunstig, want dan heeft je provider dezelfde verplichtingen als jij. Maar het ontslaat je niet van je eigen verantwoordelijkheid om dat te verifieren.

De tijdlijn: waar staan we nu?

De Europese NIS2-richtlijn is sinds januari 2023 van kracht. De deadline voor nationale implementatie was 17 oktober 2024. Nederland heeft die gemist, net als een aantal andere EU-landen. Het wetsvoorstel is in de zomer van 2025 naar de Tweede Kamer gestuurd. De behandeling loopt in maart 2026. De regering mikt op inwerkingtreding per 1 juli 2026.

Is dat zeker? Nee. Er is onduidelijkheid ontstaan door een EU-voorstel voor vereenvoudiging (COM(2026)13, gepubliceerd 20 januari 2026). Sommige partijen suggereren dat dit de Nederlandse implementatie zou vertragen. Maar die redenering gaat mank: het Europese besluitvormingsproces voor dat voorstel duurt naar verwachting twee tot drie jaar. Voor Nederland is wachten geen optie. De Tweede Kamer behandelt het wetsvoorstel als niet-controversieel.

Ondertussen zijn grote incidenten een politieke realiteit geworden. De diefstal van medische gegevens van bijna een miljoen vrouwen bij een laboratorium dat voor de rijksoverheid werkte. Het Odido-datalek dat 6,2 miljoen Nederlanders raakte. De urgentie is er.

NIS2-compliance: de 6 stappen

1
Bepaal of je eronder valt
Sector + omvang checken. De NIS2-zelfevaluatietool op de NCSC-website helpt daarbij.
2
Voer een risicoanalyse uit
Breng dreigingen, kwetsbaarheden en impact in kaart voor al je netwerk- en informatiesystemen.
3
Implementeer de 10 maatregelen
Van risicobeleid tot MFA, van supply chain security tot incidentprocedures. Documenteer alles.
4
Richt je meldproces in
24 uur voor de eerste melding, 72 uur voor de vervolgmelding, 1 maand voor het eindverslag. Oefen dit.
5
Betrek je bestuur
Bestuurders moeten maatregelen goedkeuren en hebben een opleidingsplicht. Persoonlijke aansprakelijkheid is reeel.
6
Registreer je bij het NCSC
Kan nu al vrijwillig. Na inwerkingtreding verplicht. Je ontvangt dreigingsinformatie voor jouw sector.

Bron: Cyberbeveiligingswet · digitaleoverheid.nl · samendigitaalveilig.nl

De kern

De Cyberbeveiligingswet verandert cybersecurity van een technisch onderwerp naar een bestuursverantwoordelijkheid. Het is niet langer iets dat je IT-afdeling regelt terwijl de directie kijkt. Bestuurders zijn aansprakelijk. Meldplichten zijn strak. Boetes zijn substantieel.

De wet komt eraan. De Tweede Kamer behandelt het, de politieke wil is er, en de incidenten die de urgentie aantonen stapelen zich op. Of het precies 1 juli 2026 wordt of een paar maanden later maakt voor je voorbereiding niet uit. De verplichtingen gelden zodra de wet in werking treedt. Er is geen overgangstermijn.

Begin met de vraag: val ik eronder? Als het antwoord ja is, of als je het niet zeker weet, dan is nu het moment om je risicoanalyse te starten, je leveranciersketen te beoordelen en je bestuur aan tafel te krijgen. Vier tot zes maanden klinkt als veel. Het is het niet.

Wil je weten of jouw hosting NIS2-compliant is? Bekijk onze compliance-aanpak en ontdek hoe we je helpen om aan de nieuwe wetgeving te voldoen.

Hulp nodig bij de implementatie?

Onze experts helpen je graag met persoonlijk advies.

Plan een gesprek