nis2

Cyberbeveiligingswet: wat u moet weten voor 15 augustus 2026

De Nederlandse implementatie van de Europese NIS2-richtlijn treedt naar verwachting op 15 augustus 2026 in werking — later dan gepland, maar de verplichtingen zijn onveranderd. Duizenden organisaties moeten vanaf die datum aantoonbaar voldoen aan zorgplicht, meldplicht en registratieplicht.

De tijdlijn tot nu toe

Datum Gebeurtenis
Oktober 2024 Originele EU-deadline voor implementatie — gemist door bijna alle lidstaten
4 juni 2025 Wetsvoorstel Cyberbeveiligingswet ingediend bij Tweede Kamer
15 april 2026 Tweede Kamer neemt wetsvoorstel aan
23 juni 2026 Eerste Kamer levert inbreng voor tweede verslag
15 augustus 2026 Verwachte inwerkingtreding

De inwerkingtreding is verschoven van 1 juli naar 15 augustus 2026, bevestigd naar aanleiding van het verslag van de Eerste Kamer. De Eerste Kamercommissies voor Digitalisering en voor Justitie en Veiligheid leverden op 23 juni 2026 inbreng voor het tweede verslag — de behandeling loopt nog.

Er is geen overgangstermijn. Zodra de wet in werking treedt, gelden de verplichtingen direct.


Valt uw organisatie eronder?

Als vuistregel geldt: val je in een van de 18 aangewezen sectoren én heb je 50 of meer medewerkers of een jaaromzet van minimaal €10 miljoen, dan valt jouw organisatie hoogstwaarschijnlijk onder de Cyberbeveiligingswet.

Essentiële sectoren (Bijlage I)

Energie, vervoer, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening, ruimtevaart.

Belangrijke sectoren (Bijlage II)

Post- en koeriersdiensten, afvalbeheer, chemische industrie, levensmiddelen, maakindustrie, digitale aanbieders, onderzoek.

Nieuw ten opzichte van NIS1

Een belangrijke uitbreiding ten opzichte van NIS1 is dat lokale overheden en gemeenten nu ook verplicht zijn te voldoen. Dit heeft grote gevolgen voor de meer dan 340 Nederlandse gemeenten.

Valt u er niet onder — maar levert u wel aan organisaties die dat wel doen?

Organisaties die onder de Cyberbeveiligingswet vallen hebben een ketenverantwoordelijkheid. Dit betekent dat óók de beveiliging van leveranciers en partners onder hun verantwoordelijkheid valt. Het is voor een NIS2-bedrijf een plicht om dit te controleren, en voor de toeleverancier een voorwaarde om zaken te blijven doen.


De drie hoofdverplichtingen

1. Zorgplicht

De kern van de wet. Organisaties moeten passende technische, operationele en organisatorische maatregelen nemen om risico's voor netwerk- en informatiesystemen te beheersen. Dit begint met een risicoanalyse. Op basis daarvan worden maatregelen gekozen die passen bij de risico's, de dienstverlening en de organisatie.

De wet schrijft tien minimale maatregelen voor:

  1. Risicoanalyse en informatiebeveiligingsbeleid
  2. Incidentbehandeling
  3. Bedrijfscontinuïteit en crisisbeheer
  4. Beveiliging van de toeleveringsketen
  5. Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen
  6. Beleid voor beoordeling van maatregelen (effectiviteitstesting)
  7. Gebruik van cryptografie en encryptie
  8. Personeelsbeveiliging en toegangsbeheer
  9. Meerfactorauthenticatie (MFA)
  10. Bewustwording en training van medewerkers

2. Meldplicht

De meldplicht geldt voor significante incidenten die de continuïteit van dienstverlening van de entiteit aanzienlijk kunnen verstoren. De meldtermijnen zijn strak:

  • Binnen 24 uur: eerste melding bij het NCSC en de toezichthouder
  • Binnen 72 uur: gedetailleerde voortgangsmelding
  • Binnen 1 maand: eindrapport met volledige analyse

3. Registratieplicht

Alle organisaties die onder de Cyberbeveiligingswet vallen moeten zich registreren in het entiteitenregister via mijn.ncsc.nl. Na registratie krijgt u toegang tot de dienstverlening van het CSIRT dat bij uw sector hoort.


Bestuurlijke aansprakelijkheid: wat betekent dat concreet?

Dit is het onderdeel dat bij veel bestuurders nog niet volledig is doorgedrongen. NIS2 introduceert persoonlijke aansprakelijkheid — niet voor het bedrijf in abstracte zin, maar voor de bestuurder als individu. Als blijkt dat uw organisatie aantoonbaar nalatig is geweest op het gebied van cybersecurity, kan dat leiden tot persoonlijke sancties en bestuurdersaansprakelijkheid.

Concreet betekent dit:

  • Bestuurders zijn verplicht een cyberbeveiligingstraining te volgen
  • Bestuurders moeten beveiligingsrisico's kunnen beoordelen en weloverwogen beslissingen nemen
  • Het is niet voldoende om cybersecurity "uit te besteden aan IT" — de bestuurder blijft verantwoordelijk

De maximale boete voor essentiële entiteiten is €10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt €7 miljoen of 1,4% van de omzet.


Wat het toezicht gaat betekenen

Voor de overheid wordt de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. Per sector is een specifieke toezichthouder aangewezen. Het toezicht is risicogebaseerd: essentiële entiteiten worden proactief gecontroleerd, belangrijke entiteiten reactief — maar ook zij kunnen worden onderzocht bij vermoedens van niet-naleving.


Waar staat u nu? Een praktische checklist

Gebruik dit als startpunt om te beoordelen waar uw organisatie staat:

Scope

  • [ ] Vastgesteld of uw organisatie onder de Cyberbeveiligingswet valt
  • [ ] Bepaald of u essentiële of belangrijke entiteit bent
  • [ ] Leveranciers geïdentificeerd die onder de ketenverantwoordelijkheid vallen

Registratie

  • [ ] Geregistreerd via mijn.ncsc.nl (of vrijwillige registratie al gedaan)

Zorgplicht

  • [ ] Risicoanalyse uitgevoerd en gedocumenteerd
  • [ ] Incidentresponsplan opgesteld
  • [ ] MFA ingericht op alle externe toegang
  • [ ] Patchbeleid aantoonbaar op orde

Meldplicht

  • [ ] Intern meldproces ingericht voor significante incidenten
  • [ ] Contactpersoon NCSC aangewezen

Bestuur

  • [ ] Cyberbeveiligingstraining voor bestuurders gepland
  • [ ] Bestuur geïnformeerd over persoonlijke aansprakelijkheid

Nog 7 weken

De Eerste Kamer behandelt het wetsvoorstel nog, maar inhoudelijke wijzigingen worden niet verwacht. De kans op goedkeuring door de Eerste Kamer is statistisch meer dan 95%. Organisaties die nu nog niet zijn begonnen hebben zeven weken — dat is krap voor een risicoanalyse, implementatieplan en registratie.

Het NCSC biedt een zelfevaluatietool aan via ncsc.nl om te bepalen welke verplichtingen voor uw organisatie gelden.


Bronnen


Weet u niet zeker of uw organisatie onder de Cyberbeveiligingswet valt, of wilt u hulp bij de voorbereiding? OrangeGuard helpt bij scope-analyse, risicoanalyse en het implementeren van de verplichte maatregelen.

Tags: NIS2 · Cyberbeveiligingswet · NCSC · Zorgplicht · Meldplicht · Registratieplicht · Compliance · Bestuurlijke Aansprakelijkheid