Op 15 april stemde de Tweede Kamer in met de Cyberbeveiligingswet — de Nederlandse uitwerking van de Europese NIS2-richtlijn. De verwachte ingangsdatum: 1 juli 2026. Dat is over 8 weken, en er is geen overgangstermijn.
Val jij onder de wet?
De Cyberbeveiligingswet geldt voor organisaties in 18 aangewezen sectoren. Als vuistregel: als jouw organisatie actief is in een van deze sectoren én 50 of meer medewerkers heeft of een jaaromzet van minimaal €10 miljoen, val je er hoogstwaarschijnlijk onder.
Sectoren die geraakt worden zijn onder andere:
- Energie, transport en drinkwater
- Gezondheidszorg en farmacie
- Digitale infrastructuur en ICT-dienstverlening
- Levensmiddelen, chemie en productie
- Overheidsdiensten en onderzoeksinstellingen
Twijfel je of jouw organisatie onder de wet valt? Dan is het antwoord bijna altijd: doe de check, want de risico’s van niets doen zijn groter dan de inspanning om het uit te zoeken.
Wat wordt er van jou verwacht?
Zodra de wet ingaat, moet je aantoonbaar maatregelen hebben genomen. Geen grachtijd, geen soft launch. De drie kernverplichtingen:
- Zorgplicht: je neemt passende technische en organisatorische maatregelen om risico’s te beheersen en de continuïteit van je diensten te borgen.
- Meldplicht: een significant cyberincident moet je binnen 24 uur melden bij het NCSC, gevolgd door een vervolgmelding binnen 72 uur en een eindverslag binnen een maand.
- Bestuursverantwoordelijkheid: bestuurders moeten de cybersecuritymaatregelen persoonlijk goedkeuren én voldoende kennis hebben om dat weloverwogen te doen. Delegeren is niet langer afdoende.
Wat als je er niet klaar voor bent op 1 juli?
De toezichthouder kan boetes opleggen tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Maar nog belangrijker: je bent kwetsbaar. Organisaties die hun cybersecurity niet op orde hebben, zijn een aantrekkelijk doelwit. In 2025 werden 147 ransomware-aanvallen in Nederland geregistreerd — en dat is waarschijnlijk nog maar het topje van de ijsberg.
Wat kun je deze weken nog doen?
Acht weken is kort, maar niet te kort om de basis te leggen. Focus op de volgende stappen:
- Bepaal je status: val je onder de wet als essentiële of als belangrijke entiteit?
- Doe een GAP-analyse: waar zit je nu, en wat ontbreekt er nog?
- Regel de bestuursverantwoordelijkheid: zorg dat je directie op de hoogte is én aantoonbaar betrokken is.
- Breng je incidentresponsproces op orde: weet wie wat doet als het misgaat.
- Check je leveranciers: leveranciersbeveiliging is een expliciete verplichting onder NIS2.
Van verplichting naar strategisch voordeel
Organisaties die NIS2-compliant zijn, laten zien dat ze cybersecurity serieus nemen — richting klanten, partners én aanbestedende partijen. Steeds meer opdrachtgevers vragen aantoonbare digitale weerbaarheid als voorwaarde voor samenwerking. Compliance is niet alleen een wettelijke plicht: het is een onderscheidende factor.
Klaar om de stap te zetten?
BOEM Cybersecurity helpt organisaties in Rotterdam en daarbuiten om snel en praktisch NIS2-compliant te worden. Geen dikke rapporten, maar een aanpak die past bij jouw organisatie. Neem contact op voor een vrijblijvend gesprek over onze NIS2-implementatie of begin met een GAP-analyse om te zien waar je staat.
