De Europese NIS2-richtlijn wordt in Nederland vertaald naar de Cyberbeveiligingswet (Cbw). De wet wordt naar verwachting in 2026 ingevoerd. Wacht niet af, wij helpen je stap voor stap digitaal weerbaar te worden en voorbereid te zijn op compliance.
De Network and Information Security Directive (NIS2) is een Europese richtlijn die minimumnormen vastlegt voor cyberweerbaarheid, risicobeheer en incidentmelding. De richtlijn is juridisch bindend voor lidstaten en moet worden omgezet in nationale wetgeving.
Als opvolger van de oorspronkelijke NIS-richtlijn breidt NIS2 de reikwijdte aanzienlijk uit. De regels gelden voor zowel essentiële als belangrijke entiteiten in kritieke sectoren binnen de hele EU.
In Nederland wordt NIS2 vertaald naar de (voorgenomen) Cyberbeveiligingswet (Cbw). De wet bevindt zich momenteel in het wetgevingsproces en wordt naar verwachting in 2026 ingevoerd, onder voorbehoud van parlementaire goedkeuring.
Parallel hieraan wordt de Critical Entities Resilience Directive (CER) geïmplementeerd via de Wet weerbaarheid kritieke entiteiten (Wwke). Organisaties in vitale sectoren krijgen daardoor te maken met een combinatie van cyber- en fysieke weerbaarheidseisen.
De Rijksoverheid adviseert nadrukkelijk om niet te wachten. Cyberdreigingen zijn er nu al, en organisaties in landen waar NIS2 al is ingevoerd, stellen steeds vaker hogere eisen aan hun leveranciers.
Voor wie is NIS2?
De Cyberbeveiligingswet geldt naar verwachting voor drie groepen:
Essentiële entiteiten
Organisaties in vitale sectoren zoals energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, financiële diensten, overheid en voedselproductie. Voor deze groep gelden de zwaarste eisen en het strengste toezicht.
Belangrijke entiteiten
Organisaties met een belangrijke economische of maatschappelijke rol, zoals cloudproviders, datacenters, online platforms en digitale dienstverleners. Voor hen geldt een lichter toezichtregime, maar compliance is verplicht.
Publieke entiteiten
Overheidsorganisaties en uitvoeringsinstanties die essentiële diensten leveren aan burgers en bedrijven.
Naar schatting vallen in Nederland tussen de 8.000 en 10.000 organisaties rechtstreeks onder de Cyberbeveiligingswet.
Leveranciers en ketenpartners
Ook als jouw organisatie niet direct onder de wet valt, krijg je er waarschijnlijk mee te maken. NIS2 verplicht organisaties om risico’s in de toeleveringsketen te beheersen en beveiligingseisen contractueel door te leggen. Afnemers zullen aantoonbare compliance steeds vaker als voorwaarde stellen.
Als jouw organisatie onder NIS2 valt, krijg je te maken met een uitgebreide zorgplicht en strengere eisen rondom cybersecurity. De richtlijn verplicht een integrale, risicogebaseerde aanpak — de zogeheten all-hazards-benadering.
Concreet betekent dit verplichtingen op vier gebieden:
Risicobeheer
Je moet structureel inzicht hebben in assets, dreigingen en kwetsbaarheden. Dit vertaalt zich naar maatregelen zoals toegangsbeheer, patchmanagement, encryptie, logging en monitoring, back-ups en incident response procedures.
Governance
Het bestuur is eindverantwoordelijk voor cybersecurity. Management moet actief toezicht houden, beleid goedkeuren en periodiek evalueren. Bestuurders zijn verplicht om trainingen te volgen en kunnen bij nalatigheid aansprakelijk worden gesteld.
Incidentmelding
Significante incidenten moeten binnen strikte termijnen worden gemeld:
binnen 24 uur een eerste melding
binnen 72 uur een nadere rapportage
binnen 1 maand een eindrapport
Supply chain security
Organisaties moeten hun leverancierslandschap inzichtelijk maken en cyberrisico’s actief beheersen. Beveiligingseisen worden vastgelegd in contracten en kunnen worden onderbouwd met audits of certificeringen.
Bij niet-naleving riskeren organisaties zware sancties, waaronder boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, evenals bindende aanwijzingen van toezichthouders en reputatieschade.
Gevolgen voor bedrijven
Als essentiële of belangrijke entiteit ben je verplicht aan strengere beveiligingsmaatregelen en incidentmeldingen te voldoen. Hetzelfde geldt voor de securityprestaties van jouw toeleveringsketen. Daarom is het belangrijk met de juiste partners samen te werken en om goede contractuele afspraken te maken.
Daarnaast worden de meldplicht en de zorgplicht uitgebreid. Bij nalatigheid riskeren organisaties hoge boetes. Onderzoek van Proximus NXT Nederland wijst uit dat bestuurders zich hier onvoldoende van bewust zijn.
Met onze NIS2 Readiness Scan brengen we jouw huidige securitypositie in kaart op basis van de NIS2-richtlijn en de Cyberbeveiligingswet.
We voeren een gap-analyse uit met behulp van ISO 27001 en BIO-mapping, gecombineerd met actuele inzichten uit de Cbw. Dit vertalen we naar een concreet en uitvoerbaar stappenplan.
Zo wordt NIS2-compliance geen eenmalige exercitie, maar een structurele verbetering van jouw digitale weerbaarheid.
Binnen 4 weken heb je:
inzicht in je huidige volwassenheid
duidelijkheid over je verplichtingen
een concreet actieplan
Na 9 maanden komen we terug voor een herijking en optimalisatie.
Expertise
Ons team combineert diepgaande kennis van cybersecurity met actuele inzichten in de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.
Managed services
Wij ondersteunen van monitoring tot incidentrespons, zodat jouw organisatie continu beschermd is en voldoet aan de eisen.
Closed loop aanpak
Met een terugkom moment evalueren we voortgang, prioriteiten en risico’s, zodat je blijft verbeteren en compliant blijft.
