De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, treedt naar verwachting rond 1 juli 2026 in werking. Daarmee wordt digitale weerbaarheid voor veel organisaties een wettelijke verplichting. Cybersecurity is dan niet langer alleen een onderwerp voor de IT-afdeling, maar raakt ook bestuur, processen, leveranciers en risicomanagement.
De NIS2-richtlijn is opgesteld om de digitale veiligheid binnen Europa te versterken. In Nederland wordt deze richtlijn omgezet in de Cyberbeveiligingswet. Organisaties die onder deze wet vallen, krijgen te maken met concrete verplichtingen, zoals registratie, risicobeheersing, passende beveiligingsmaatregelen en het melden van significante incidenten. Hoewel de wet nog niet formeel van kracht is, is het verstandig om nu al te starten met de voorbereiding. De maatregelen vragen namelijk om meer dan een snelle technische oplossing.
Wat verandert er met NIS2?
NIS2 is de opvolger van de eerdere Europese NIS-richtlijn. De nieuwe richtlijn heeft een breder toepassingsgebied en geldt voor meer sectoren en organisaties dan voorheen. Het doel is om een hoger niveau van cyberbeveiliging te realiseren binnen sectoren die belangrijk zijn voor economie en samenleving. In Nederland gebeurt de invoering via de Cyberbeveiligingswet. Deze wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen zodra de Cyberbeveiligingswet in werking treedt.
De belangrijkste verandering is dat informatiebeveiliging aantoonbaar georganiseerd moet zijn. Het gaat dus niet alleen om technische maatregelen, maar ook om beleid, verantwoordelijkheden, risicoanalyses, incidentprocessen en leveranciersbeheer. Organisaties moeten kunnen laten zien dat zij risico’s kennen, passende maatregelen nemen en deze maatregelen blijven beoordelen en verbeteren.
Voor wie geldt de Cyberbeveiligingswet?
Of een organisatie onder de Cyberbeveiligingswet valt, hangt af van de sector, de omvang en soms de specifieke dienstverlening. Sectoren die geraakt kunnen worden zijn onder andere energie, vervoer, gezondheidszorg, drinkwater, digitale infrastructuur, ICT-dienstverlening, levensmiddelen, afvalbeheer, chemie, post- en koeriersdiensten, productie en onderzoek.
De wet maakt onderscheid tussen essentiële en belangrijke entiteiten. Dat onderscheid bepaalt onder andere hoe toezicht wordt gehouden. Essentiële entiteiten krijgen te maken met proactief toezicht. Bij belangrijke entiteiten vindt toezicht vooral reactief plaats, bijvoorbeeld na een incident of bij signalen van niet-naleving. Organisaties zijn zelf verantwoordelijk om te bepalen of zij onder de Cyberbeveiligingswet vallen. Wachten op een persoonlijke uitnodiging of aanwijzing is daarom niet verstandig.
Onze klanten aan het woord
Stichting HandinHand4All behaalde ISO 9001: “We stonden er geen moment alleen voor”
Heeft stichting HandinHand4All een ISO 9001-certificaat? Die vraag werd bij aanbestedingen steeds vaker gesteld. Voor [...]
Kalle en Bakker Betoncentrales: “Door ondersteuning bij de CSC-certificering kon ik mijn tijd slimmer indelen”
Kalle en Bakker Betoncentrales produceert al sinds de jaren ’50 beton. Met betoncentrales in Nederweert, [...]
Aviaco GSE: “De ISO 9001- en 14001 auditors waren onder de indruk van onze documentatie”
Toen Aviaco GSE overwoog zich in te schrijven voor een grote luchthaven-tender, werd één ding direct duidelijk: zonder ISO [...]
De belangrijkste verplichtingen
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder andere te maken met een registratieplicht, zorgplicht en meldplicht. De registratieplicht houdt in dat organisaties zich moeten registreren in het entiteitenregister. In Nederland loopt dit via het Nationaal Cyber Security Centrum. Deze registratie zorgt ervoor dat duidelijk is welke organisaties onder de wet vallen en wie bereikbaar is bij dreigingen of incidenten.
De zorgplicht vormt de kern van de wet. Organisaties moeten passende technische, operationele en organisatorische maatregelen nemen om risico’s voor netwerk- en informatiesystemen te beheersen. Dit begint met een risicoanalyse. Op basis daarvan worden maatregelen gekozen die passen bij de risico’s, de dienstverlening en de organisatie. Denk aan toegangsbeheer, back-ups, incidentrespons, beveiliging van systemen, leveranciersbeoordeling, bewustwording en periodieke evaluatie.
De meldplicht betekent dat significante incidenten tijdig moeten worden gemeld. Hierbij gaat het om incidenten die grote gevolgen kunnen hebben voor de dienstverlening, klanten, gebruikers of de organisatie zelf. Organisaties moeten daarom vooraf weten wanneer er gemeld moet worden, wie verantwoordelijk is en welke stappen worden gevolgd bij een incident.
Bestuur, leveranciers en ISO 27001
Een belangrijk onderdeel van NIS2 is de verantwoordelijkheid van het bestuur. Bestuurders moeten maatregelen voor cyberbeveiliging goedkeuren en toezicht houden op de uitvoering. Daarnaast geldt er een trainingsplicht, zodat bestuurders voldoende kennis hebben van risico’s, maatregelen en de mogelijke gevolgen van cyberincidenten. Daarmee wordt informatiebeveiliging een bestuurlijk onderwerp. Het is niet voldoende om maatregelen alleen technisch in te richten; verantwoordelijkheden en besluitvorming moeten duidelijk zijn vastgelegd.
Ook leveranciers kunnen gevolgen merken van NIS2. Organisaties die onder de Cyberbeveiligingswet vallen, moeten namelijk aandacht besteden aan de beveiliging van de toeleveringsketen. Daardoor kunnen leveranciers aanvullende eisen krijgen op het gebied van informatiebeveiliging, incidentmelding, continuïteit, toegangsbeheer of certificering. Een zwakke schakel in de keten kan immers gevolgen hebben voor de continuïteit van een hele organisatie.
ISO 27001 kan helpen om de voorbereiding praktisch vorm te geven. NIS2 is wetgeving en ISO 27001 is een internationale norm voor informatiebeveiliging, maar beide sluiten goed op elkaar aan. ISO 27001 helpt om risico’s, maatregelen, verantwoordelijkheden, audits en verbeteracties structureel te organiseren. Daarmee vormt het een sterke basis om informatiebeveiliging aantoonbaar en beheersbaar in te richten.
Voorbereiden begint met overzicht
Een goede voorbereiding op NIS2 begint met inzicht. Valt de organisatie onder de Cyberbeveiligingswet? Welke processen, systemen en leveranciers zijn kritisch? Welke risico’s zijn er? En welke maatregelen zijn al aanwezig? Zonder dit overzicht is het lastig om prioriteiten te bepalen en gericht stappen te zetten.
Diks Process Support helpt om dit praktisch in kaart te brengen. Met een nulmeting of gap-analyse wordt duidelijk waar de organisatie staat, welke verplichtingen relevant zijn en welke verbeterpunten aandacht vragen. Vanuit daar kunnen risicoanalyses, maatregelen, beleid en incidentprocessen gericht worden ingericht of aangescherpt.
De Cyberbeveiligingswet vraagt om aantoonbare beheersing van cyberrisico’s. Door nu te beginnen, voorkom je tijdsdruk en ontstaat er ruimte om informatiebeveiliging praktisch en duurzaam in te richten als onderdeel van de bedrijfsvoering.
Wil je weten wat NIS2 precies betekent voor jouw organisatie? Plan vandaag nog een vrijblijvend adviesgesprek met een van onze specialisten of bel ons direct!
Adviesgesprek aanvragen Of bel 085 833 0088