De Cyberbeveiligingswet (de Nederlandse implementatie van de Europese NIS2-richtlijn) treedt naar verwachting medio 2026 in werking. Naar schatting zo'n 8.000 organisaties vallen er direct onder, en duizenden meer via hun opdrachtgevers in de keten.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). De wet stelt verplichtingen op het gebied van cybersecurity voor organisaties in essentiële en belangrijke sectoren. Denk aan energie, gezondheidszorg, transport, maar ook de maakindustrie en ICT-dienstverleners.
De Cyberbeveiligingswet kent boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten.
Waarom raakt dit ook leveranciers?
Een van de belangrijkste veranderingen in NIS2 ten opzichte van de vorige richtlijn is de nadruk op ketenverantwoordelijkheid. Organisaties die onder de wet vallen, worden verplicht om de cyberveiligheid van hun leveranciers te beoordelen en te bewaken.
Concreet betekent dit:
- Uw opdrachtgevers zullen beveiligingseisen opnemen in contracten
- U kunt gevraagd worden om aan te tonen dat u basismaatregelen heeft getroffen
- Bij een incident in uw systemen kan uw opdrachtgever meldplichtig zijn
Wat moet u als leverancier regelen?
Zelfs als uw organisatie niet direct onder de wet valt, is het verstandig om minimaal de volgende zaken op orde te hebben:
- Risicobeoordeling: breng de belangrijkste risico's voor uw informatiebeveiliging in kaart
- Incidentprocedure: zorg dat medewerkers weten wat ze moeten doen bij een beveiligingsincident
- Toegangsbeheer: gebruik unieke accounts, sterke wachtwoorden en multi-factor authenticatie
- Back-ups: maak regelmatig back-ups en test het herstelproces
- Bewustwording: train medewerkers in het herkennen van phishing en social engineering
Begin met een risicobeoordeling. Dat is de basis voor alle andere maatregelen. U hoeft niet alles tegelijk te doen.
De tien zorgplichtmaatregelen (NIS2 Artikel 21)
De Cyberbeveiligingswet vertaalt de NIS2-zorgplicht naar tien categorieën maatregelen (Artikel 21 lid 2). Wie onder de wet valt, moet deze passend en evenredig invullen, én kunnen aantonen:
- Risicoanalyse en informatiebeveiligingsbeleid
- Incidentafhandeling
- Bedrijfscontinuïteit (back-up, herstel, crisisbeheer)
- Beveiliging van de toeleveringsketen
- Beveiliging bij verwerving, ontwikkeling en onderhoud
- Meten van de effectiviteit van maatregelen
- Cyberhygiëne en bewustwording/training
- Cryptografie en encryptie
- Personeels-, toegangs- en assetbeleid
- Multifactorauthenticatie en beveiligde communicatie
Voor leveranciers in de keten zijn vooral de maatregelen 1 tot en met 4 en 7 het startpunt. Er bestaan ook praktische MKB-instrumenten om dit aantoonbaar te maken, zoals CYRA (mede vanuit de Brainport-regio ontwikkeld) of het NIS2 Supply Chain-certificaat van Samen Digitaal Veilig, maar de wettelijke basis zijn deze tien maatregelen.
Wanneer actie ondernemen?
De wet treedt naar verwachting medio 2026 in werking. Maar uw opdrachtgevers bereiden zich nu al voor. Wacht niet tot het laatste moment. Begin vandaag met een inventarisatie van uw huidige situatie.
"De vraag is niet óf uw klanten NIS2-eisen gaan stellen, maar wanneer."
Bron: Rijksoverheid: Cyberbeveiligingswet
Wilt u weten of uw bedrijf onder de Cyberbeveiligingswet valt?
