De Cyberbeveiligingswet ( de Nederlandse omzetting van de Europese NIS2-richtlijn) is op 4 juni 2025 ingediend bij de Tweede Kamer. De verwachte inwerkingtreding is het tweede kwartaal van 2026, afhankelijk van de voortgang van de parlementaire behandeling. Nederland loopt daarmee al geruime tijd achter op de Europese deadline van 17 oktober 2024, en staat formeel in gebreke bij de Europese Commissie.
Ondanks dat we uitstel hebben is dat absoluut geen reden om af te wachten: de inhoudelijke richting staat vast, de Rijksoverheid roept organisaties actief op om nu al te beginnen, en wie nu investeert in governance, risicobeheer en monitoring heeft straks een voorsprong.
Waarom NIS2 meer is dan ‘weer een compliance-verplichting’
De NIS2-richtlijn heeft een fundamenteel andere ambitie dan zijn voorganger. Waar NIS1 primair gericht was op een beperkte groep vitale aanbieders, legt NIS2 de lat hoger én breder: het gaat niet alleen om technische beveiliging, maar ook om bestuurlijke verantwoordelijkheid, ketenregie en aantoonbaarheid van maatregelen. Bestuurders dragen eindverantwoordelijkheid en moeten kunnen aantonen dat beleid, uitvoering en monitoring met elkaar in lijn zijn , en dat werkt direct door in persoonlijke aansprakelijkheid bij aantoonbare nalatigheid.
Voor organisaties in kritieke en belangrijke sectoren betekent dit een structurele omslag: van ad-hoc security naar een integraal, meetbaar en herhaalbaar risicobeheerproces. Dat is geen administratieve last, maar een investering in weerbaarheid die zich terugverdient bij elk voorkomen incident.
Wie valt onder de Cyberbeveiligingswet?
De Cyberbeveiligingswet treft naar schatting meer dan 8.000 organisaties in Nederland. De wet onderscheidt twee categorieën: essentiële entiteiten (onder zwaarder toezicht) en belangrijke entiteiten. Beide zijn gebonden aan dezelfde inhoudelijke verplichtingen, maar de toezichtintensiteit verschilt.
De sectors die onder de wet vallen zijn uitgebreider dan onder NIS1. Naast energie, vervoer en digitale infrastructuur gaat het ook om onder andere gezondheidszorg, drinkwater, bankwezen, financiële marktinfrastructuur, ruimtevaart, post- en koeriersdiensten, afvalbeheer en delen van de maakindustrie. Ook organisaties in het openbaar bestuur en in onderwijsinstellingen kunnen onder de reikwijdte vallen.
De omvang van de organisatie is bepalend voor de indeling. Organisaties met minimaal 250 fte of een omzet boven €50 miljoen en balanstotaal boven €43 miljoen worden in principe als essentieel beschouwd. Wie meer dan 50 fte heeft (of een omzet én balanstotaal van meer dan €10 miljoen) valt al gauw als ‘belangrijke entiteit’ onder de wet. In de zorgsector gelden vergelijkbare drempels, uitgewerkt in de ministeriële regeling van VWS.
De drie kernverplichtingen: zorgplicht, meldplicht en registratieplicht
Zorgplicht. Organisaties moeten kunnen aantonen dat zij een risicogebaseerd beveiligingsniveau hanteren. De Cyberbeveiligingswet en het bijbehorende Cyberbeveiligingsbesluit (Cbb) concretiseren dit in tien zorgplichtmaatregelen, waaronder risicoanalyse, incidentbeheersing, continuïteitsplanning, beveiliging van de toeleveringsketen, cryptografie, toegangsbeheer, bewustwording en training van personeel, en het gebruik van multi-factor authenticatie. Bestuurders zijn verplicht een opleiding te volgen om basiskennis over cybersecurity aan te tonen.
Meldplicht. Significante incidenten moeten tijdig worden gemeld bij de bevoegde toezichthouder en het nationale CSIRT. De termijn is strak: een eerste melding binnen 24 uur na ontdekking, een uitgebreidere melding binnen 72 uur, en een eindrapportage binnen één maand. De definitie van ‘significant’ hangt af van de impact op de dienstverlening en het aantal betroffen gebruikers.
Registratieplicht. Entiteiten die onder de Cyberbeveiligingswet vallen, moeten zich registreren bij de bevoegde instantie. Dit maakt toezicht mogelijk en faciliteert ketensamenwerking bij incidenten. De precieze inrichting van de registratie wordt nader uitgewerkt per sector in de ministeriële regelingen. Voor zes ministeries ( BZK, I&W, EZ, KGG, LVVN en VWS ) zijn die concept-regelingen al geconsulteerd (november–december 2025); het ministerie van OCW volgt op een later moment.
De timing: wat u nu al kunt doen
Hoewel de Cyberbeveiligingswet formeel nog niet van kracht is, geldt er vanwege de verstreken Europese deadline al een beperkte directe werking van de NIS2-richtlijn. Dat betekent dat organisaties die onder de wet gaan vallen al recht hebben op bijstand van een CSIRT bij een incident. Wettelijke verplichtingen gelden echter pas vanaf het moment van inwerkingtreding, verwacht in Q2 2026.
De Rijksoverheid laat er geen misverstand over bestaan: wachten is geen strategie. De risico’s bestaan vandaag al. En wie nu begint, heeft bij inwerkingtreding minder herstelwerk te doen. Een praktisch startpunt: koppel uw risicoregister aan concrete maatregelen en meetpunten, stel eigenaarschap vast per domein, en begin met de bestuurlijke opleiding die de wet vereist.
Van beleid naar bewijs: zo maakt u NIS2 aantoonbaar
NIS2 vraagt niet om papieren beleid, maar om werkend beleid. Vertaal strategische doelstellingen naar processen, verantwoordelijkheden en operationele controls. Zorg dat elke maatregel een meetbaar resultaat heeft: welke risico’s dekt ze af, welke drempelwaarden gelden, hoe vaak wordt geëvalueerd? Leg afwijkingen vast, stel hersteltermijnen in en documenteer besluiten op directieniveau.
Dit levert een levend systeem van registratie op: intern kunt u daarmee verantwoording afleggen, extern kunt u snel aantonen dat u in control bent. Toezichthouders verwachten geen perfectie, maar wél aantoonbare inspanning en structurele verbetering. Een audit-klare dossierstructuur met risicoregister, maatregelenoverzicht, testresultaten en incidentlogs is daarvoor de basis.
Ketenweerbaarheid: uw leveranciers zijn uw risico
Eén van de zwakste schakels in veel organisaties is de toeleveringsketen. NIS2 maakt dit expliciet: u bent mede-verantwoordelijk voor het beveiligingsniveau van uw leveranciers en onderaannemers die toegang hebben tot uw systemen of data. Dat vereist heldere contractuele afspraken, periodieke toetsing van naleving, en een intake- en beoordelingsproces voor nieuwe leveranciers op basis van risico.
Werk met een verbeterkalender richting ketenpartners: maak duidelijk welke stappen wanneer verwacht worden en hoe naleving aangetoond moet worden. De opkomst van het NIS2 Supply Chain certificaat (NIS2 SC) biedt daarvoor een praktisch kader. Dit bevordert samenwerking én versnelt herstel bij verstoringen.
Operationele uitvoering: detectie, respons en rapportage
Effectieve NIS2-compliance vereist 24/7 zicht op afwijkend gedrag, snelle triage en heldere escalatiepaden. Organisaties die hun security-operaties centraliseren en standaardiseren, via een Security Operations Center (SOC) of vergelijkbare aanpak — kunnen incidenten sneller afhandelen en tegelijkertijd beter rapporteren aan bestuur en toezichthouders.
Denk aan een geïntegreerde opzet waarin logging, gedragsanalyse en playbooks samenkomen, met concrete Service Level Objectives (SLO’s) voor detectie- en responstijden. Maak rapportages begrijpelijk voor bestuurders: risico-ontwikkeling over tijd, voortgang van maatregelen en lessons learned uit oefeningen en incidenten. De meldplicht maakt snelle en nauwkeurige rapportage niet optioneel. Let wel, dit moet georganiseerd zijn voordat een incident plaatsvindt, niet erna.
Technologie als enabler van aantoonbaarheid
Technologie vervangt beleid niet, maar maakt aantoonbaarheid een stuk concreter. Network Access Control (NAC) dwingt toegangspolicies af, verzamelt gedetailleerde loggegevens en biedt continu inzicht in wie, wat en wanneer verbinding maakt met uw netwerk. Dat ondersteunt incidentdetectie, audits en compliance-rapportages direct.
Breder gezien: een goed geconfigureerde combinatie van endpoint-beveiliging, Identity & Access Management (IAM), netwerksegmentatie en monitoring vormt de technische ruggengraat van NIS2-compliance. Het gaat er daarbij om dat de technische maatregelen de beleidsprocessen versterken, niet dat technologie los staat van het governance-kader.
De relatie met de Wet weerbaarheid kritieke entiteiten
Tegelijk met de Cyberbeveiligingswet is ook de Wet weerbaarheid kritieke entiteiten (Wwke) ingediend bij de Tweede Kamer. Dit is de omzetting van de Europese CER-richtlijn en richt zich op de fysieke en organisatorische weerbaarheid van entiteiten in sectoren als energie, transport en drinkwater. Kritieke entiteiten krijgen na aanwijzing tien maanden de tijd om aan de verplichtingen te voldoen. Beide wetten gaan gelijktijdig in werking en vullen elkaar aan: cyberveiligheid en fysieke weerbaarheid zijn twee kanten van dezelfde medaille.
Praktisch aan de slag
De volgende stappen zijn logisch voor elke organisatie die serieus werk wil maken van NIS2-gereedheid:
Bepaal eerst of uw organisatie onder de Cyberbeveiligingswet valt. De beslisboom van de Rijksoverheid helpt daarbij. Stel vervolgens een intern projectteam in met een duidelijke eigenaar op directieniveau. Voer een gap-analyse uit op basis van de tien zorgplichtmaatregelen. Bouw een risicoregister op en koppel dit aan concrete maatregelen. Zet uw meld- en registratieprocessen klaar. En investeer in bewustwording en training van medewerkers én bestuurders, de wet vereist dit letterlijk.
Wie een compacte introductie zoekt, vindt een goed startpunt op de website van de NCTV en bij Digitale Overheid.Â
- Rijksoverheid – Cyberbeveiligingswet https://www.rijksoverheid.nl/onderwerpen/cybersecurity/cyberbeveiligingswet
- Nationaal Cyber Security Centrum (NCSC) – NIS2 https://www.ncsc.nl/onderwerpen/nis2
Heeft u vragen over NIS2, de Cyberbeveiligingswet of de technische en organisatorische inrichting van uw beveiliging? Neem contact op met SolidBE via contact@solidbe.nl of bel 088 88 99 000.
