Het is een doodgewone dinsdag. Iemand op de administratie krijgt een mail die lijkt te komen van de boekhouder, klikt op de link, en denkt er verder niet bij na. Of het is nog stiller: je komt 's ochtends binnen, zet je computer aan, en niets werkt meer. De bestanden zijn versleuteld, er staat een melding op het scherm, en de telefoon begint te rinkelen. Geen filmhacker met een capuchon in een donkere kamer. Gewoon een dinsdag waarop alles stilvalt. En dan komt de vraag die er echt toe doet, niet of je onder een wet valt, maar wat er nu met je organisatie gebeurt.
Hacken is goedkoper dan ooit
De afgelopen jaren is er iets veranderd in de gereedschapskist van de aanvaller. AI heeft cybercriminaliteit sneller, goedkoper en overtuigender gemaakt. Een phishingmail hoefde vroeger maar een paar spelfouten te bevatten om door de mand te vallen. Nu komt zo'n bericht binnen zonder een enkele fout, in precies de toon die je verwacht, soms zelfs toegespitst op jouw organisatie en de mensen die er werken. De oude vuistregel, let op de taalfouten, werkt niet meer.
Het gaat verder dan tekst. Een nagebootste stem of zelfs een video van een leidinggevende die belt om een spoedbetaling te regelen is geen science fiction meer. En omdat dit allemaal geautomatiseerd en op schaal gebeurt, is een klein bedrijf net zo goed een doelwit als een groot concern. Het is niet persoonlijk, het is volume. Wie denkt te klein te zijn om interessant te wezen, redeneert vanuit een tijd die voorbij is. De nuchtere conclusie: de techniek van de aanvaller is veranderd, maar de basis van je verdediging niet.
Wat de Cyberbeveiligingswet zegt, en voor wie
NIS2 is een Europese richtlijn. Een richtlijn werkt niet rechtstreeks, maar wordt door elk land vertaald naar eigen nationale wetgeving. Nederland doet dat met de Cyberbeveiligingswet, die de oude Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangt.
Waar staan we nu? De Tweede Kamer stemde op 15 april 2026 in met het wetsvoorstel. De Eerste Kamer moet er nog over stemmen, en de invoering is gepland voor 1 juli 2026. De wet is er dus, dit is geen toekomstmuziek meer, maar hij is nog niet in werking getreden.
Voor wie geldt het straks? De wet richt zich op essentiele en belangrijke entiteiten in aangewezen sectoren: zorg, energie, drinkwater, transport, productie, digitale dienstverlening en afvalverwerking. Doorgaans gaat het om organisaties vanaf 50 medewerkers of met meer dan 10 miljoen euro omzet of balanstotaal, al gelden voor sommige sectoren regels ongeacht de omvang. Belangrijk om te weten: niemand stuurt je een brief. Je moet zelf nagaan of je eronder valt.
Dit is precies waar NIS2 anders bij je terechtkomt dan een eerdere Europese wet. De AI Act, waarover we onlangs schreven, is een verordening en werkt rechtstreeks, zonder tussenkomst van de Tweede Kamer. NIS2 is een richtlijn, en bereikt je dus via de Nederlandse wet.
Ook als je er niet onder valt, raakt het je
Stel dat je na het lezen van het bovenstaande concludeert dat je organisatie er niet onder valt. Dan ben je er nog niet, want er zijn twee manieren waarop de wet je alsnog raakt.
De eerste is het keteneffect. Organisaties die wel onder de wet vallen, moeten hun leveranciers op beveiliging beoordelen. In de praktijk merk je dat aan vragenlijsten over hoe je je beveiliging hebt geregeld, aan eisen die in contracten verschijnen, en soms aan audits. Lever je aan een zorginstelling of een energiebedrijf, dan kan die klant de eisen die voor hem gelden, deels bij jou neerleggen.
De tweede is reputatie. Een hack is een hack, met of zonder wet. De uitleg die je je klanten en je mensen verschuldigd bent, het herstelwerk dat dagen of weken kan duren, en het klantvertrouwen dat je kwijtraakt, zijn precies hetzelfde of de wet nu op je van toepassing is of niet.
Wat weerbaarheid in de praktijk betekent
Het goede nieuws is dat de maatregelen die ertoe doen, sowieso verstandig zijn. Ze raken toevallig ook de zorgplicht uit de wet, maar je doet ze in de eerste plaats omdat ze je organisatie overeind houden op die ene dinsdag.
Een paar concrete dingen. Test je back-up echt, dus zet hem ook eens terug, want een back-up die je nooit hebt uitgeprobeerd is een aanname, geen zekerheid. Zet tweestapsverificatie aan op alles wat van buiten bereikbaar is. Maak een kort incidentplan, een A4 is genoeg: wie bel je, wie mag besluiten, en hoe bereik je je mensen als de mail eruit ligt. Investeer in het bewustzijn van je mensen, want de meeste incidenten beginnen bij een klik. En kijk naar je leveranciers: waar staat je data, en wat hebben zij geregeld.
Eén ding hoort er nog bij, zonder dreigtoon. Onder de wet is het bestuur hier aansprakelijk voor. Dat maakt dit geen ICT-onderwerp dat je doorschuift, maar een gesprek dat op directieniveau thuishoort. En het is geen lijstje dat je één keer afvinkt: weerbaarheid is iets wat je structureel onderhoudt.
Georganiseerd en aantoonbaar
Hier zit een addertje onder het gras dat veel organisaties pas laat opmerken. De Cyberbeveiligingswet vraagt niet alleen dat je maatregelen neemt, maar dat je ze kunt aantonen. Een back-up die werkt is mooi, maar je moet ook kunnen laten zien dat je hem test, wie daarvoor verantwoordelijk is, en wanneer dat voor het laatst gebeurde.
Belangrijker nog: de wet schrijft voor wát je regelt, niet hóe. Denk aan risicobeheer, incidentafhandeling, bedrijfscontinuiteit, ketenbeveiliging, toegangsbeveiliging, encryptie en tweestapsverificatie. Hoe je dat invult is aan jou. En dat is precies waar het interessant wordt, want pak je die maatregelen serieus en volledig op, dan bouw je vanzelf een samenhangend beveiligingssysteem. Dat is wat de norm ISO 27001 beschrijft. Zie NIS2 dus niet als een lijstje om af te vinken, maar als de aanleiding om je beveiliging structureel op orde te brengen.
Zo pakken wij het met onze klanten aan: een structuur die je onderhoudt en kunt aantonen, niet een eenmalige afvinkactie. In de NIS2-module van ons compliance-platform SecureNEXT zie je per NIS2-maatregel, de tien maatregelen uit artikel 21, precies welke ISO 27001-onderdelen erbij horen, met per maatregel een status, een eigenaar en het bewijs. Zo zijn je weerbaarheid en je naleving één geheel in plaats van twee losse trajecten.
| Maatregel | ISO 27001 | Status |
|---|---|---|
| aRisicobeheer en beveiligingsbeleid | 5.1, 5.2, 5.7, 5.8 +3 | Geimplementeerd |
| bIncidentafhandeling | 5.24, 5.25, 5.26, 5.27 +4 | Gedeeltelijk |
| cBedrijfscontinuiteit en crisisbeheer | 5.29, 5.30, 7.5, 7.11 +5 | Gedeeltelijk |
| dKetenbeveiliging (leveranciers) | 5.19, 5.20, 5.21, 5.22 +2 | Nog te beoordelen |
| eBeveiliging bij aankoop en ontwikkeling | 8.7, 8.8, 8.9, 8.19 +10 | Nog te beoordelen |
| fEffectiviteitsbeoordeling | 5.35, 5.36, 8.15, 8.16 +1 | Nog te beoordelen |
| gBasishygiene en bewustwording | 6.3, 6.7, 8.1, 8.7 +1 | Geimplementeerd |
| hCryptografie en encryptie | 5.14, 7.10, 7.14, 8.10 +2 | Gedeeltelijk |
| iHR-beveiliging, toegangsbeheer en assetbeheer | 5.9, 5.15, 5.16, 5.18 +4 | Geimplementeerd |
| jMFA en beveiligde communicatie | 5.17, 8.5 | Nog te beoordelen |
Wil je zien hoe dat eruitziet? Bekijk wat de NIS2-module doet op SecureNEXT.nl.
Veelgestelde vragen
Geldt NIS2 ook voor mijn (kleine) bedrijf? Meestal alleen als je in een aangewezen sector zit en de drempels haalt, doorgaans 50 of meer medewerkers of meer dan 10 miljoen euro omzet of balanstotaal. Voor sommige sectoren geldt het ongeacht de omvang. Je moet het zelf nagaan, en let op het keteneffect via je opdrachtgevers.
Is de wet al van kracht? Nog niet. De Tweede Kamer ging op 15 april 2026 akkoord, de Eerste Kamer moet nog stemmen, en de invoering is gepland voor 1 juli 2026.
Wat als ik leverancier ben van een organisatie die er wel onder valt? Dan kun je er indirect mee te maken krijgen, via de eisen die zo'n klant aan zijn leveranciers stelt: vragenlijsten, contracteisen en soms audits.
Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet? NIS2 is de Europese richtlijn. De Cyberbeveiligingswet is de Nederlandse uitwerking ervan en vervangt de oude Wbni.
De meeste organisaties lopen uiteindelijk niet vast op het grote werk, maar op de basis die nooit goed is geregeld: de back-up die niemand test, de tweestapsverificatie die er voor de helft is, het incidentplan dat in iemands hoofd zit. En die basis op orde brengen is makkelijker dan het lijkt. Wil je weten waar jouw organisatie nu staat, dan lopen we dat graag samen met je door. Neem gerust contact op.
Johan Antonissen is Privacy Officer en Functionaris Gegevensbescherming. Hij schrijft regelmatig voor Privacy in Bedrijf.
Stand van zaken: wetsbehandeling Cyberbeveiligingswet, Rijksoverheid, april 2026.