NIS2 / Cyberbeveiligingswet
NIS2 is een Europese richtlijn voor cyberbeveiliging die Nederland omzet in nationale wetgeving: de Cyberbeveiligingswet (Cbw). Deze wet treedt naar verwachting op 15 augustus 2026 in werking en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). IT-Checklist zet op deze pagina de belangrijkste punten op een rij, met concrete vervolgstappen via onze ISO 27001 en NEN 7510 pagina’s.
🏥 Zorg is één van de 18 kritieke sectoren
De Cyberbeveiligingswet geldt voor 18 aangewezen sectoren, waaronder energie, drinkwater, digitale infrastructuur en de zorg. Werk je in de zorg? Kijk dan ook op onze NEN 7510-pagina — die norm is specifiek gericht op informatiebeveiliging in de zorgsector en overlapt inhoudelijk met de NIS2-verplichtingen.
Wat verplicht de wet?
- Een risicobeheersysteem voor informatiebeveiliging opzetten en onderhouden.
- Ernstige cyberincidenten binnen 24 uur (vroegtijdige waarschuwing) en 72 uur (volledige melding) melden bij het NCSC.
- Bestuurders zijn persoonlijk verantwoordelijk voor het goedkeuren en toezien op het cyberbeveiligingsbeleid.
- Leveranciers en de toeleveringsketen moeten worden meegenomen in de risicoanalyse.
Praktische eerste stappen voor MKB/ZZP
Ook als je niet direct onder de wet valt, is het verstandig om nu al te starten: een risicoanalyse, een actueel beveiligingsbeleid en een incidentresponsplan zijn voor vrijwel elke organisatie zinvol. Doe eerst onze gratis IT-check om te zien waar je nu staat.
Val ik onder de Cyberbeveiligingswet (NIS2)?
De wet geldt voor middelgrote en grote organisaties (vanaf 50 medewerkers of € 10 miljoen omzet/balanstotaal) in 18 aangewezen kritieke sectoren, waaronder energie, drinkwater, digitale infrastructuur, vervoer, overheid — en de zorg. Ben je een kleinere zorgorganisatie of leverancier van kritieke sectoren, dan kun je er via de keten alsnog mee te maken krijgen, bijvoorbeeld als opdrachtnemer.
Wat is de NIS2-boete als ik niet voldoe?
Dat hangt af van je classificatie. Essentiële entiteiten riskeren een boete tot € 10 miljoen of 2% van de wereldwijde jaaromzet (de hoogste van de twee). Belangrijke entiteiten — waaronder veel mkb- en zorgorganisaties — riskeren tot € 7 miljoen of 1,4% van de jaaromzet. Bij herhaalde of ernstige overtredingen kunnen bestuurders bovendien persoonlijk aansprakelijk worden gesteld.
Wat is het verschil tussen 'essentiële' en 'belangrijke' entiteiten?
Essentiële entiteiten (grotere organisaties in de meest kritieke sectoren, zoals energie en digitale infrastructuur) vallen onder strenger, proactief toezicht. Belangrijke entiteiten — waaronder veel zorgorganisaties — worden achteraf gecontroleerd, maar moeten wel aan dezelfde zorgplicht en meldplicht voldoen.
Voor hoeveel bedrijven in Nederland geldt de wet?
Naar schatting vallen zo'n 10.000 organisaties rechtstreeks onder de Cyberbeveiligingswet. Daarnaast krijgen naar schatting 50.000 tot 100.000 mkb-bedrijven er indirect mee te maken, omdat zij als leverancier of ketenpartner van een NIS2-plichtige organisatie ook aan bepaalde beveiligingseisen moeten voldoen.
Is er een NIS2-checklist voor het mkb?
Een compacte checklist om mee te starten: (1) breng in kaart of je rechtstreeks of via de keten onder de wet valt, (2) registreer je organisatie bij het NCSC via mijn.ncsc.nl zodra dat kan, (3) voer een risicoanalyse uit en leg die vast, (4) stel een informatiebeveiligingsbeleid op met een duidelijke eigenaar binnen de directie, (5) richt een meldprocedure in voor cyberincidenten (24 uur/72 uur), en (6) breng je belangrijkste leveranciers en hun beveiligingsniveau in kaart.
Wanneer moet ik voldoen aan de wet?
De Cyberbeveiligingswet treedt naar verwachting op 15 augustus 2026 in werking. Vanaf dat moment geldt onder meer de registratieplicht bij het NCSC (via mijn.ncsc.nl) en de meldplicht voor cyberincidenten. Wacht niet tot het laatste moment — risicoanalyses en beleid opzetten kost tijd.