Per 1 juli 2026 treedt de Cyberbeveiligingswet (de Nederlandse implementatie van de Europese NIS2-richtlijn) in werking. Meer dan 50.000 Nederlandse organisaties krijgen ermee te maken — direct of indirect via hun opdrachtgevers.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet stelt verplichtingen op het gebied van cybersecurity voor organisaties in essentiële en belangrijke sectoren. Denk aan energie, gezondheidszorg, transport, maar ook de maakindustrie en ICT-dienstverleners.
De Cyberbeveiligingswet kent boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten.
Waarom raakt dit ook leveranciers?
Een van de belangrijkste veranderingen in NIS2 ten opzichte van de vorige richtlijn is de nadruk op ketenverantwoordelijkheid. Organisaties die onder de wet vallen, worden verplicht om de cyberveiligheid van hun leveranciers te beoordelen en te bewaken.
Concreet betekent dit:
- Uw opdrachtgevers zullen beveiligingseisen opnemen in contracten
- U kunt gevraagd worden om aan te tonen dat u basismaatregelen heeft getroffen
- Bij een incident in uw systemen kan uw opdrachtgever meldplichtig zijn
Wat moet u als leverancier regelen?
Zelfs als uw organisatie niet direct onder de wet valt, is het verstandig om minimaal de volgende zaken op orde te hebben:
- Risicobeoordeling — breng de belangrijkste risico's voor uw informatiebeveiliging in kaart
- Incidentprocedure — zorg dat medewerkers weten wat ze moeten doen bij een beveiligingsincident
- Toegangsbeheer — gebruik unieke accounts, sterke wachtwoorden en multi-factor authenticatie
- Back-ups — maak regelmatig back-ups en test het herstelproces
- Bewustwording — train medewerkers in het herkennen van phishing en social engineering
Begin met een risicobeoordeling — dat is de basis voor alle andere maatregelen. U hoeft niet alles tegelijk te doen.
De 17 NIS2-SC10 maatregelen
Het normenkader NIS2-SC10 beschrijft 17 maatregelen verdeeld over vier categorieën: organisatorisch, mensgericht, fysiek en technologisch. Voor leveranciers in de keten zijn vooral de basismaatregelen relevant.
| Categorie | Aantal maatregelen | Voorbeeld |
|---|---|---|
| Organisatorisch | 6 | Informatiebeveiligingsbeleid, risicobeoordeling |
| Mensgericht | 2 | Security awareness, personeelsbeleid |
| Fysiek | 1 | Fysieke toegangsbeveiliging |
| Technologisch | 8 | Toegangsbeheer, patchmanagement, back-ups |
Wanneer actie ondernemen?
De wet treedt in werking op 1 juli 2026. Maar uw opdrachtgevers bereiden zich nu al voor. Wacht niet tot het laatste moment — begin vandaag met een inventarisatie van uw huidige situatie.
"De vraag is niet óf uw klanten NIS2-eisen gaan stellen, maar wanneer."
Bron: Rijksoverheid — Cyberbeveiligingswet
Wilt u weten of uw bedrijf onder de Cyberbeveiligingswet valt?
Doe de gratis NIS2 check