Menu
Home
Diensten
Over ons
Artikelen
Contact
Nederlands
NIS2 in de praktijk: wat moet je vóór 1 juli geregeld hebben?
Artikelen
NIS2 in de praktijk: wat moet je vóór 1 juli geregeld hebben?
Lezen in 6 min.
12 June 2026

NIS2 in de praktijk: wat moet je vóór 1 juli geregeld hebben?

NIS2, in Nederland genoemd de Cyberbeveiligingswet, is er bijna. Op 15 april 2026 stemde de Tweede Kamer in met het wetsvoorstel en op dit moment buigt de Eerste Kamer zich erover. Dat de wet per 1 juli 2026 in werking treedt lijkt inmiddels zeker; dat is dus al over enkele weken! Voor veel ondernemers voelt NIS2 als iets abstracts; typisch Europese regelgeving dat vooral bedoeld is voor grote bedrijven en vitale sectoren. Maar de realiteit is anders: de wet raakt meer organisaties dan gedacht. Ook bedrijven die er niet direct onder vallen, krijgen er indirect mee te maken. De vraag is dus niet óf je ermee te maken krijgt, maar of je er als bedrijf klaar voor bent. In dit artikel zetten we uiteen wat de wet concreet van je vraagt en wat je nu al geregeld moet hebben.

Valt jouw bedrijf onder NIS2, de nieuwe Cyberbeveiligingswet?

De wet richt zich op bedrijven en organisaties in essentiële en belangrijke sectoren. Denk aan energie, zorg, transport, digitale dienstverleners, voedselproductie en de maakindustrie. In Nederland gaat het naar schatting om 8.000 tot 10.000 bedrijven en organisaties die direct aan de wet moeten voldoen.

Op ncsc.nl heeft de overheid een zelfevaluatie beschikbaar gemaakt, waarmee je exact kunt nagaan of jouw organisatie onder de wet valt en of je als essentiële of belangrijke entiteit wordt aangemerkt. Essentiële entiteiten staan onder strenger toezicht dan belangrijke entiteiten, maar beide hebben dezelfde basisverplichtingen.

Is jouw bedrijf een “essentiële en/of belangrijke entiteit?”

Zo ja, dan gelden er drie basisverplichtingen: Organisaties die direct onder de Cyberbeveiligingswet vallen, hebben drie basisverplichtingen: zorgplicht, meldplicht en registratieplicht:

- Zorgplicht: dit is de kern van de wet; jouw organisatie moet risico’s in kaart brengen (aantoonbaar!) en passende maatregelen nemen om systemen en diensten te beveiligen. Let op, het gaat niet om een papieren exercitie, maar om aantoonbaar geïmplementeerde maatregelen. De wet schrijft minimaal tien concrete maatregelen voor, dit zijn ze:

  1. Risicoanalyse en beleid: breng in kaart welke risico’s jouw organisatie loopt en stel een beveiligingsbeleid op dat daarop aansluit.
  2. Incident response: zorg voor een gedocumenteerd plan voor wat je doet als er een incident plaatsvindt, inclusief herstelstappen.
  3. Toegangsbeheer: weet wie toegang heeft tot welke systemen en beperk dat tot wat noodzakelijk is.
  4. Multifactor authenticatie (MFA): je bent verplicht multifactor authenticatie toe te passen voor alle toegang tot kritieke systemen en accounts.
  5. Ketenbeveiliging: beoordeel de digitale beveiliging van leveranciers die toegang hebben tot jouw systemen.
  6. Encryptie: zorg dat gevoelige data versleuteld wordt opgeslagen en verstuurd.
  7. Bewustwording en training: jouw medewerkers moeten weten hoe ze dreigingen herkennen en hoe ze moeten handelen.
  8. Patchmanagement: je zult software, systemen en firmware altijd up-to-date moeten houden.
  9. Logging en monitoring: monitor al je systemen op verdacht gedrag en log relevante gebeurtenissen.
  10. Back-up en herstel: zorg voor regelmatige back-ups en test of je die back-ups ook daadwerkelijk kunt terugzetten.

- Meldplicht: indien jouw organisatie slachtoffer wordt van een significant cyberincident ben je verplicht dit binnen 24 uur te melden bij de toezichthouder én het Computer Security Incident Response Team (CSIRT). Een incident is significant te noemen als het een ernstige verstoring veroorzaakt of financiële schade met zich meebrengt.

- Registratieplicht: valt jouw organisatie onder de wet, dan ben je verplicht je te registreren via mijn.ncsc.nl. Na registratie krijg je toegang tot informatie over actuele cyberdreigingen vanuit het NCSC.

De crux voor veel MKB-bedrijven zit ‘m in punt 5 van de zorgplicht: de ketenbeveiliging! Dit betekent concreet dat organisaties (die zelf rechtstreeks onder de wet vallen) verplicht zijn om de cyberveiligheid van hun toeleveranciers te beoordelen, Dat betekent dat jouw “NIS2-plichtige” opdrachtgevers vragen gaan stellen over jóuw digitale beveiliging.

Kun jij aantonen dat je risico’s beheerst? Heb je een beveiligingsbeleid? Weet je hoe je moet handelen bij een incident? Dus ook wanneer jouw organisatie niet direct NIS2-plichtig is, ga je er indirect toch mee te maken krijgen. De Cyberbeveiligingswet heeft daarmee veel meer impact dan alleen op direct betrokkenen!

In de praktijk zien we al dat grote opdrachtgevers cybersecurity-eisen opnemen in inkoopvoorwaarden, contracten een aanbestedingen. Wie niet kan aantonen dat de digitale veiligheid op orde is, loopt het risico om uitgesloten te worden van opdrachten. Cybersecurity wordt daarmee een zakelijke voorwaarde om zaken te kunnen (blijven) doen.

Bestuurders zijn voortaan persoonlijk verantwoordelijk!

Een belangrijk nieuw element in de Cyberbeveiligingswet is de bestuurlijke verantwoordelijkheid. De wet legt de eindverantwoordelijkheid voor cyberweerbaarheid expliciet bij het bestuur. Bestuurders moeten voldoende kennis hebben om weloverwogen beslissingen te nemen over informatiebeveiliging. Concreet betekent dit dat bestuurders verplicht zijn jaarlijks een cybersecuritytraining te volgen. De wet maakt cybersecurity en cyberweerbaarheid dus wettelijk een bestuurlijke verantwoordelijkheid! Het management kan cyberveiligheid het niet langer negeren of “afschuiven” op de ICT-afdeling of ICT-leverancier. Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Wat zijn de gevolgen als je niets doet?

De sancties zijn niet mals. De maximale boete onder de Cyberbeveiligingswet bedraagt 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kunnen bestuurders dus ook persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid. Maar misschien nog urgenter voor het MKB: wie niet aantoonbaar voldoet aan basisnormen voor cyberbeveiliging, riskeert opdrachten en samenwerkingen te verliezen aan concurrenten die dat wél op orde hebben. Cybersecurity wordt een voorwaarde om zaken te kunnen blijven doen!

Wacht dus niet tot 1 juli, begin nu met implementatie.

Implementatie van de NIS2-maatregelen, de eisen van de Cyberbeveiligingswet, duurt gemiddeld zes maanden. Wie nu nog niet begonnen is, haalt de deadline van 1 juli waarschijnlijk niet. En wie pas begint nadat de wet van kracht is, staat meteen achteraan in de rij bij adviseurs en specialisten.

De overheid adviseert organisaties nadrukkelijk om niet af te wachten. Cyberrisico’s bestaan immers al jaren, los van wetgeving. Een check op de cyberveiligheid en weerbaarheid is dus sowieso een goede zaak. Weet dat veel organisaties hun eigen weerbaarheid overschatten; totdat ze het hebben laten checken!

Een nulmeting geeft inzicht in wat er al goed gaat en wat er nog ontbreekt. Securide kan deze nulmeting, een CyberCheck uitvoeren. De CyberCheck is een grondige analyse van jouw organisatie op de vier pijlers van cyberweerbaarheid: techniek, mensen, processen en leiderschap. Op basis daarvan weet je precies wat je moet doen om compliant aan de wet te zijn en hoe je dat aanpakt op een manier die past bij jouw organisatie.

Wil je weten hoe jouw organisatie ervoor staat? Plan dan nu een kennismaking en ontdek wat de CyberCheck voor jou kan betekenen.

Benieuwd wat Securide voor jouw bedrijf kan betekenen?
Ook interessant:
>>
Cybercriminaliteit kost het Nederlandse MKB miljarden! Jouw bedrijf kan maar zo het volgende doelwit zijn!
>>
CyberAwareness-programma’s verhogen jouw cyberalertheid!
>>
De vier centrale thema’s bij cyberweerbaarheid.
>>
Hoe cyberweerbaar is jouw organisatie? De CyberCheck geeft antwoord.
>>
Waarom cybersecurity niet stopt bij een IT-partner
Ook in het nieuws
Relevante artikelen
Cybercriminaliteit kost het Nederlandse MKB miljarden! Jouw bedrijf kan maar zo het volgende doelwit zijn!
Lezen in 5 min.
02 June 2026
Cybercriminaliteit kost het Nederlandse MKB miljarden! Jouw bedrijf kan maar zo het volgende doelwit zijn!
Cybercriminaliteit is één van de meest voorkomende vormen van misdaad in Nederland. De cijfers liegen er niet om: één op de vijf bedrijven ondervond in 2024 directe schade van cybercriminaliteit. En het is allang geen probleem meer van de grote corporates, multinationals of overheidsinstanties; juist het MKB is vaak doelwit, omdat het algemene kennisniveau en de weerbaarheid daar doorgaans lager is dan bij de grotere bedrijven. Toch onderschatten veel MKB-ondernemers het risico nog steeds. Maar al te vaak wordt er gedacht “mij overkomt dat niet”. Helaas een gevaarlijke misvatting….
CyberAwareness-programma’s verhogen jouw cyberalertheid!
Lezen in 4 min.
28 April 2026
CyberAwareness-programma’s verhogen jouw cyberalertheid!
Om de cyberweerbaarheid van een organisatie te kunnen beoordelen, kijkt Securide altijd naar vier aspecten: techniek, mensen, processen en leiderschap. In dit blog gaan we dieper in op het menselijke aspect van cyberweerbaarheid. Is de mens nu de zwakste of misschien juist wel de sterkste schakel in cyberweerbaarheid? En hoe onze CyberAwareness-programma de digitale alertheid van medewerkers verder verhogen, waardoor ze een sterke(re) schakel zijn in de beveiliging van jouw onderneming.
De vier centrale thema’s bij cyberweerbaarheid.
Lezen in 5 min.
21 April 2026
De vier centrale thema’s bij cyberweerbaarheid.
Cyberweerbaarheid is iets wat anders dan cybersecurity; het kijkt verder dan alleen naar het beschermen tegen aanvallen, het gaat ook over wat te doen zodra we toch slachtoffer worden. De termen cybersecurity en cyberweerbaarheid betekenen dus niet hetzelfde, het onderscheid zit hierin: Cybersecurity: gaat vooral over techniek en over het beschermen tégen cyberaanvalle. Cyberweerbaarheid: gaat enerzijds over het beschermen tegen aanvallen, anderzijds over blijven functioneren, zodra er toch een cyberaanval is.
Securide
Vanadiumweg 11a
3812 PX Amersfoort
[email protected]
Kennisbank
Artikelen
Over ons
Ons verhaal
Contact
Volg ons
LinkedIn
Instagram
Algemene Voorwaarden
Privacyverklaring
Coordinated Vulnerability Disclosure (CVD)
© Securide 2026