De Cyberbeveiligingswet — de Nederlandse implementatie van de Europese NIS2-richtlijn — wordt naar verwachting in het tweede kwartaal van 2026 van kracht. Voor organisaties die onder de scope vallen betekent dit: verplichte registratie, aantoonbare zorgplicht, bestuurlijke verantwoordelijkheid en een operationeel meldproces voor significante incidenten. Dit artikel leidt je gestructureerd door de voorbereiding.

Wat verandert er concreet?

NIS2 breidt de verplichte cybersecurityvereisten aanzienlijk uit ten opzichte van de eerdere NIS1-richtlijn. De scope is breder, de zorgplicht is explicieter en voor het eerst is er een expliciete bestuurdersaansprakelijkheid. Organisaties die hieronder vallen mogen niet langer werken vanuit een “best effort”-houding — ze moeten passende en evenredige maatregelen treffen op basis van een gedocumenteerde risicoanalyse, en ze moeten dat kunnen aantonen.

Significante incidenten moeten binnen 24 uur na ontdekking als eerste melding worden gedaan en binnen 72 uur met een gedetailleerde beoordeling worden opgevolgd. Registratie bij het NCSC of sectorale autoriteit is verplicht.

Val je onder de scope?

NIS2 onderscheidt essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten — energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur, overheid — staan onder actief toezicht en worden op hogere boetes aangesproken. Belangrijke entiteiten — post, afval, chemie, levensmiddelen, digitale aanbieders — staan onder reactief toezicht.

Voor groottecriteria geldt: organisaties met vijftig of meer medewerkers of met een jaaromzet en balanstotaal boven de tien miljoen euro kunnen vallen onder de “middengrote” categorie. Kleine organisaties zijn in de meeste gevallen uitgezonderd, tenzij ze als kritieke entiteit worden aangemerkt. Een expliciete scopebepaling is dan ook de eerste stap die elke organisatie moet zetten.

De tien verplichte controls

De wet vereist passende en evenredige technische, operationele en organisatorische maatregelen. Op basis van NIS2 Artikel 21 zijn tien controls minimaal vereist. In plaats van ze als opsomming te presenteren, wil ik ze als een samenhangend geheel bespreken.

Het begint met een gedocumenteerd risicobeleid: jaarlijks bijgehouden, met aandacht voor alle netwerk- en informatiesystemen. Zonder risicoanalyse is geen enkele maatregel aantoonbaar “passend”. Gekoppeld hieraan is een incidentresponsproces dat escalatiepaden bevat en bewaartermijnen voor logs vastlegt. Bedrijfscontinuïteit vereist een solide back-upbeleid — minimaal de 3-2-1-methode — en concrete ramp recovery- en crisissimulaties.

De toeleveringsketen verdient aparte aandacht. Leveranciers moeten contractueel aan minimale beveiligingseisen voldoen, inclusief meldplicht bij incidenten. Kwetsbaarheidsbeheer moet structureel zijn, met SLA’s per risicocategorie. Cyber hygiene en training zorgen dat basishygiëne — MFA, patchmanagement, wachtwoordbeleid — overal geïmplementeerd is. Cryptografiebeleid documenteert de keuzes voor encryptie en sleutelbeheer. Personeelsbeveiliging regelt toegangsbeheer op basis van least privilege en exit-procedures. En MFA is expliciet verplicht voor beheerders en kritieke systemen.

Zet elk van deze tien controls op een maturity-schaal van één tot vier. Alles op twee of lager is een directe prioriteit voor de eerste helft van 2026.

Bestuur: training én bewijsvoering

De bestuurdersaansprakelijkheid is een nieuw element in NIS2 dat niet onderschat mag worden. Het bestuur moet het informatiebeveiligingsbeleid formeel goedkeuren, en bestuurders en directie moeten aantoonbaar getraind zijn. “Awareness” is hier niet voldoende — er is een specifieke opleiding vereist die gedocumenteerd is.

Periodieke rapportage aan het bestuur is een ander onderdeel: minimaal elk kwartaal over beveiligingsniveau, incidenten en risico’s. Besluitdocumentatie, trainingsregistraties en risicoreviews moeten bewaard worden voor toezichtdoeleinden.

Drie maanden om voorbereid te zijn

In de eerste maand: scopebepaling en classificatie, een kwalitatieve gap-analyse op de tien controls, en een bestuursbesluit over eigenaarschap en budget. In de tweede maand: incidentresponsproces documenteren en testen, MFA uitrollen op alle beheeraccounts, leveranciersclauses herzien en bestuurstraining plannen. In de derde maand: de registratieprocedure volgen bij de bevoegde autoriteit, een tabletop-oefening voor de meldplicht uitvoeren, en alle beleidsdocumentatie op orde brengen.

Standpunt

Ik ben geen fan van compliance als doel op zichzelf. Regels volgen omdat je anders een boete krijgt, is een armzalig fundament voor informatieveiligheid. Maar de Cyberbeveiligingswet doet iets anders dan veel compliance-frameworks: ze schrijft voor hoe je denkt over risico, niet alleen wat je registreert.

De vereiste dat maatregelen “passend én evenredig” moeten zijn op basis van een risicoanalyse, is precies hoe informatieveiligheid zou moeten werken. Je beveiligt wat beveiligd moet worden, naar rato van wat er op het spel staat. Dat vereist nadenken, en dat is gezond.

Wat mij ook positief stemt is de bestuurdersaansprakelijkheid. Cybersecurity is te lang een IT-onderwerp geweest dat ergens onderin de organisatie woonde. NIS2 trekt het naar de top. Bestuurders die het niet weten en niet kunnen uitleggen, lopen risico. Dat is een krachtige motivator om het gesprek over cybersecurity op directieniveau serieus te voeren.

Voor organisaties die AI inzetten — inclusief voor juridische analyse — heeft NIS2 bovendien directe gevolgen voor hoe die AI-omgeving is ingericht. CyberSecurity AD voldoet al aan de zorgplicht die NIS2 vereist: afgeschermde verwerking, gedocumenteerde procedures, volledige auditbaarheid. Die aansluiting is geen toeval — het is het gevolg van een architectuurkeuze die van meet af aan het hoogste niveau van verantwoording als norm heeft genomen.