Op 7 juli 2026 heeft de Nederlandse Eerste Kamer de Cyberbeveiligingswet (Cbw), de wet die NIS2 in Nederland in werking treedt, goedgekeurd. Deze treedt op 15 augustus 2026 in werking, zonder overgangsperiode. De Eerste Kamer heeft de bijbehorende Wet weerbaarheid kritieke entiteiten (Wwke) op dezelfde dag aangenomen, en deze is vanaf dezelfde datum van toepassing.
Vanaf 15 augustus is cyberbeveiliging een wettelijke verplichting voor naar schatting 8.000 organisaties direct, ongeveer 500 extra onder de Wwke, en voor tienduizenden leveranciers via toeleveringsketenvereisten.
De wet stelt vier kerntaken vast:
• Zorgplicht: passende technische en organisatorische maatregelen tegen cyberrisico's, inclusief risico's in uw toeleveringsketen.
• Meldplicht incidenten: meld een significant incident aan uw CSIRT en de bevoegde toezichthouder via het NCSC-portaal, een vroege waarschuwing binnen 24 uur, een uitgebreidere melding binnen 72 uur, en een eindrapport binnen een maand.
• Registratieplicht: registreer uw organisatie bij het NCSC, in het nationale register van entiteiten.
• Bestuursverantwoordelijkheid: het bestuur moet de risicomaatregelen goedkeuren, training volgen en kan persoonlijk aansprakelijk worden gesteld.
Als uw organisatie binnen de reikwijdte valt, is de praktische deadline nu, niet 15 augustus. De datum is de kop. De reikwijdte en de verantwoordelijkheid zijn het echte verhaal.
Nederland was een van de laatste EU-lidstaten die NIS2 omzette. Onder de oude Wbni vielen ongeveer 1.000 organisaties binnen de reikwijdte. Onder de Cbw stijgt dat aantal naar ongeveer 8.000, en veel daarvan ontdekken nu voor het eerst dat ze binnen de reikwijdte vallen.
Twee details die algemene berichtgeving vaak overslaat:
Er is geen overgangsperiode. De wettelijke basis en het mandaat van de toezichthouder bestaan vanaf dag één. Niemand verwacht op 15 augustus een inspecteur op de stoep, maar "we beginnen na de zomer" is geen veilige positie meer.
De keten trekt je erin mee. Je hoeft geen benoemde essentiële of belangrijke entiteit te zijn om dit te ervaren. Als je zo'n entiteit levert, bereikt de zorgplicht je via hun toeleveringsketenverplichtingen. Veel organisaties die ervan uitgaan dat NIS2 hun probleem niet is, zullen door een klant worden gevraagd het tegendeel te bewijzen.
En het deel dat het gesprek verandert: de bestuursverantwoordelijkheid. Het bestuur moet de risicomaatregelen goedkeuren, de training volgen en draagt persoonlijke aansprakelijkheid als het misgaat. NIS2 is niet langer iets wat het IT-team stilletjes beheert. Het is een verantwoordelijkheid op bestuursniveau met een naam eraan verbonden.
In de kern stelt de Cbw drie vragen die u nu officieel moet beantwoorden: zijn uw beveiligingsmaatregelen passend en gedocumenteerd, kunt u het eerste rapport van een ernstig incident binnen 24 uur indienen, en kunt u een toezichthouder het bewijs tonen wanneer daarom wordt gevraagd?
De organisaties die het minst van slag zijn door 15 augustus, zijn de organisaties die al een gestructureerd informatiebeveiligingsbeheersysteem hanteren. De zorgplicht van NIS2 sluit nauw aan bij ISO 27001: risicobeheer, incidentrespons, toegangsbeheer, leveranciersbeheer, bedrijfscontinuïteit. Het is grotendeels hetzelfde werk, geformuleerd voor een andere toezichthouder. Een organisatie die al ISO 27001-gecertificeerd is, voegt NIS2 doorgaans toe als een mapping-oefening in plaats van een heropbouw, omdat de controles en het bewijs al bestaan en alleen hoeven te worden gekoppeld aan de nieuwe verplichting.
Dat is het verschil tussen haastwerk en een weloverwogen planning. Toen de Gemeente Waterland begon met het voldoen aan de BIO-norm vóór de overheidsdeadline van 2024, waren de vereisten niet het moeilijkste, maar het hebben van een structuur om op terug te vallen. Met één systeem dat duidelijk eigenaarschap, georganiseerde taken en auditklaar bewijs omvatte, ging het bij het halen van de deadline om het uitvoeren van het proces, niet om het uitvinden ervan.
Dat is precies de positie waarin NIS2 nu duizenden Nederlandse organisaties plaatst.
Als 15 augustus op u van toepassing is, vier stappen deze maand:
1. Bevestig de reikwijdte. Beslis of u een essentiële of belangrijke entiteit bent, of een leverancier daarvan. Als u een leverancier bent, zal de vraag van een klant komen; beantwoord deze voordat zij ernaar vragen.
2. Breng in kaart wat u al heeft ten opzichte van de zorgplicht. Als u ISO 27001 heeft, is het meeste werk al gedaan en hoeft het alleen nog in kaart gebracht te worden, niet opgebouwd.
3. Implementeer de verplichtingen die echt nieuw zijn: gefaseerde incidentrapportage (vroege waarschuwing binnen 24 uur, opvolging binnen 72 uur), registratie bij het NCSC, en bewijs dat u op verzoek kunt overleggen.
4. Betrek het bestuur erbij. De plicht van het bestuursorgaan en persoonlijke aansprakelijkheid betekenen dat dit een benoemde eigenaar vereist, en geen informele goedkeuring.
ISOPlanner™ biedt u één structuur hiervoor: NIS2 en ISO 27001 aan elkaar gekoppeld, eigenaarschap zichtbaar gemaakt en bewijs klaar voordat iemand erom vraagt, allemaal binnen de Microsoft 365-omgeving waarin uw team al werkt.
Log in to your ISOPlanner™ workspace, or start a free trial.
Log in Start your free trial