NIS2 en de Cyberbeveiligingswet — waar je als kleinere organisatie écht moet beginnen
Drie jaar lang was ik CISO bij een veiligheidsregio, en als er één patroon is dat ik in die periode heb leren herkennen, is het dit: organisaties raken in paniek van wetgeving en vergeten ondertussen de basis. Nu de Cyberbeveiligingswet — de Nederlandse invulling van NIS2 — eindelijk in de laatste fase zit, gebeurt het weer. Daarom: wat de wet vraagt, voor wie hij geldt, en waar je écht zou moeten beginnen.
Waar staat de wet nu?
Eerst de stand van zaken, want daar bestaat veel verwarring over. NIS2 is een Europese richtlijn die lidstaten uiterlijk in oktober 2024 hadden moeten omzetten in nationale wetgeving. Nederland haalde die deadline ruimschoots niet. De Nederlandse uitwerking heet de Cyberbeveiligingswet (Cbw): de Tweede Kamer nam die op 15 april 2026 aan, de Eerste Kamer behandelt hem begin juli, en de beoogde inwerkingtreding is medio augustus 2026.
Betekent dat uitstel dat je rustig kunt afwachten? Nee — en niet alleen omdat de datum dichtbij is. De verplichtingen uit NIS2 waren al jaren bekend, toezichthouders verwachten dat organisaties er aantoonbaar aan wérken, en de maatregelen die de wet vraagt had je eerlijk gezegd ook zonder wet moeten treffen.
Val je eronder?
De wet onderscheidt essentiële en belangrijke entiteiten in aangewezen sectoren: energie, transport, drinkwater, gezondheidszorg, digitale infrastructuur, overheid, post, afval, voedsel, industrie en meer. Als vuistregel: middelgrote en grote organisaties in die sectoren (grofweg vanaf vijftig medewerkers of tien miljoen euro omzet) vallen eronder; voor een deel van de digitale infrastructuur geldt geen ondergrens. Kleinere organisaties vallen er meestal niet rechtstreeks onder.
Maar — en dit is de clou die veel MKB'ers missen — de wet werkt door in de keten. Organisaties die er wél onder vallen, moeten eisen stellen aan hun leveranciers. Ben jij de webbouwer, de hostingpartij, het administratiekantoor of de installateur van zo'n organisatie, dan krijg je de vragenlijsten en contracteisen vanzelf op je bord. Niet omdat de toezichthouder bij jou aanklopt, maar omdat je klant dat doet. Zo raakt NIS2 uiteindelijk vrijwel iedereen die B2B werkt.
Wat de wet eigenlijk vraagt
Wie de bijlagen doorleest, ontdekt dat er weinig exotisch in staat. De kern bestaat uit drie verplichtingen:
- Zorgplicht — passende maatregelen nemen op basis van een risicoanalyse: van toegangsbeheer en back-ups tot leveranciersmanagement en incidentafhandeling.
- Meldplicht — significante incidenten binnen 24 uur vroegtijdig melden bij de toezichthouder, met een vervolgmelding binnen 72 uur en een eindrapport daarna.
- Registratieplicht — je organisatie registreren bij de toezichthouder, zodat die weet wie er onder de wet valt.
Nieuw is vooral dat het bestuur persoonlijk aan zet is: bestuurders moeten de maatregelen goedkeuren, toezien op de uitvoering en zelf een opleiding volgen. "Dat doet onze IT-leverancier" is onder deze wet geen antwoord meer — en dat is misschien wel de grootste verdienste ervan.
Waar ik zou beginnen — de basis van een ex-CISO
Vergeet even de wettekst. Als ik morgen bij een organisatie van twintig man verantwoordelijk zou worden voor de digitale weerbaarheid, dan zou ik dit doen, in deze volgorde:
- Weet wat je hebt. Je kunt niets beschermen wat je niet kent. Maak een simpele lijst van systemen, applicaties, data en leveranciers. Een spreadsheet is prima; volledigheid telt, niet de tooling.
- MFA op alles wat van buiten bereikbaar is. E-mail, VPN, beheerportalen, boekhouding. Dit is de goedkoopste maatregel met het grootste effect, en anno 2026 is er geen excuus meer om hem over te slaan.
- Patch wat aan het internet hangt. Firewalls, VPN-appliances, webservers, CMS'en. Vrijwel elke grote inbraak van de afgelopen jaren begon bij een bekende kwetsbaarheid waarvoor al maanden een update bestond.
- Back-ups die je test. Minstens één kopie offline of onveranderbaar, buiten het bereik van dezelfde inloggegevens als je productie. Een back-up die je nooit hebt teruggezet, is een aanname — geen maatregel.
- Regel offboarding. Accounts van vertrokken medewerkers en oud-leveranciers zijn stille achterdeuren. Maak er een vast proces van, gekoppeld aan de uitdiensttreding.
- Beperk beheerrechten. Werk standaard zonder adminrechten, ook de directeur, ook de IT'er. Een aparte beheeraccount kost vijf minuten en houdt de schade van één phishingklik lokaal.
- Oefen één incident per jaar. Een tabletop van twee uur volstaat: "onze mail is versleuteld, wat nu?" Wie belt wie, waar staan de contactgegevens als de systemen plat liggen, wie beslist over losgeld? Uit mijn crisistijd bij de veiligheidsregio: een plan dat nooit geoefend is, bestaat niet.
- Leg vast wat je doet. Kort en eerlijk: welke risico's zie je, welke maatregelen heb je getroffen, welke bewust niet. Dat ene document is straks negentig procent van je aantoonbaarheid richting klanten én toezichthouder.
Wie deze acht punten op orde heeft, komt bij elke NIS2-vragenlijst van een klant een heel eind — en belangrijker: is daadwerkelijk moeilijker te raken.
De valkuil: papier kopen in plaats van veiligheid
Er is een hele industrie opgestaan die NIS2-angst omzet in dikke rapporten. Wees daar kritisch op. Een risicoanalyse van tachtig pagina's die niemand leest, maakt je geen procent veiliger; een middag met je team eerlijk benoemen wat er mis kan gaan wél. Huur gerust expertise in — maar voor het doen, niet voor het produceren van papier. En vraag elke aanbieder die met de wet wappert eerst even welke van de acht punten hierboven hij concreet gaat oplossen.
Conclusie
De Cyberbeveiligingswet is geen revolutie; het is de wettelijke ondergrens van wat behoorlijk IT-beheer al jaren hoort te zijn. Val je er rechtstreeks onder, regel dan naast de basis ook je registratie en meldproces. Val je er niet onder, dan komt de wet toch naar je toe — via je klanten. In beide gevallen is het antwoord hetzelfde: begin bij de basis, leg vast wat je doet, en laat je niet gek maken.