Als u zich de laatste tijd verdiept in cybersecurity-wetgeving, bent u waarschijnlijk zowel "NIS2" als "Cyberbeveiligingswet" tegengekomen. Soms worden ze door elkaar gebruikt, maar er zijn belangrijke verschillen. In dit artikel leggen we uit hoe ze zich tot elkaar verhouden.
Het korte antwoord
NIS2 is de Europese richtlijn. De Cyberbeveiligingswet is de Nederlandse wet die deze richtlijn implementeert. Ze zijn nauw verwant, maar niet identiek.
| NIS2 | Cyberbeveiligingswet | |
|---|---|---|
| Wat | EU-richtlijn | Nederlandse wet |
| Vastgesteld door | Europees Parlement | Tweede Kamer |
| Geldig in | Alle EU-lidstaten | Alleen Nederland |
| Datum | Aangenomen december 2022 | Verwacht juli 2026 |
| Status | Definitief | In behandeling |
Hoe werkt een EU-richtlijn?
Een EU-richtlijn is geen wet die direct geldt. Het is een opdracht aan alle lidstaten om nationale wetgeving te maken die aan bepaalde minimumeisen voldoet. Elke lidstaat mag zelf kiezen hóe ze de richtlijn implementeren, zolang het resultaat aan de doelen voldoet.
Dat verklaart waarom:
- De Duitse implementatie (NIS2UmsuCG) andere accenten kan leggen dan de Nederlandse
- De Belgische implementatie (NIS2-wet) op sommige punten strenger kan zijn
- Elke lidstaat een eigen toezichthouder aanwijst
Als u internationaal opereert, moet u mogelijk aan meerdere nationale implementaties voldoen. De Nederlandse Cyberbeveiligingswet geldt voor uw Nederlandse vestiging, maar uw Duitse vestiging valt onder de Duitse wet.
Van NIS1 naar NIS2: wat is er veranderd?
De NIS2-richtlijn is de opvolger van de eerste NIS-richtlijn uit 2016, die in Nederland is geïmplementeerd als de Wet beveiliging netwerk- en informatiesystemen (Wbni). De belangrijkste veranderingen:
1. Veel meer organisaties in scope
De oude Wbni gold voor een beperkte groep "aanbieders van essentiële diensten" en "digitale dienstverleners". De Cyberbeveiligingswet breidt dit uit naar 17 sectoren en verlaagt de drempel naar 50 medewerkers.
| Wbni (NIS1) | Cyberbeveiligingswet (NIS2) | |
|---|---|---|
| Aantal sectoren | ~7 | 17 |
| Geschatte organisaties NL | ~300 | 50.000+ |
| Minimale omvang | Individueel aangewezen | 50 FTE of €10M omzet |
2. Strengere verplichtingen
De zorgplicht is uitgebreider en concreter. Waar de Wbni vrij algemeen was over "passende maatregelen", beschrijft de Cyberbeveiligingswet specifiek welke maatregelen u moet nemen — van risicoanalyse tot supply chain security.
3. Hogere boetes
De Wbni kende maximale boetes van enkele honderdduizenden euro's. De Cyberbeveiligingswet gaat naar €10 miljoen of 2% van de jaaromzet voor essentiële entiteiten.
4. Bestuurdersaansprakelijkheid
Nieuw in de Cyberbeveiligingswet: bestuurders zijn persoonlijk verantwoordelijk voor het naleven van de zorgplicht en moeten cyberbeveiligingsopleidingen volgen.
5. Ketenbeheer verplicht
Organisaties moeten de cyberveiligheid van hun toeleveranciers beoordelen en bewaken. Dit was niet expliciet verplicht onder de Wbni.
Wat zijn de verplichtingen onder de Cyberbeveiligingswet?
De wet kent drie hoofdverplichtingen:
Zorgplicht
U moet passende en evenredige technische, operationele en organisatorische maatregelen nemen. De wet somt tien categorieën op, waaronder:
- Beleid inzake risicoanalyse en beveiliging van informatiesystemen
- Incidentenbehandeling
- Bedrijfscontinuïteit, zoals back-upbeheer en crisisbeheer
- Beveiliging van de toeleveringsketen
- Beleid en procedures voor het gebruik van cryptografie en encryptie
- Multifactorauthenticatie en beveiligde communicatie
Meldplicht
Significante incidenten moeten binnen 24 uur worden gemeld bij het CSIRT. Dit is een strakker tijdschema dan onder de Wbni.
Registratieplicht
Organisaties die onder de wet vallen, moeten zich registreren bij de toezichthouder.
De meldplicht van 24 uur geldt voor de eerste melding. Veel organisaties onderschatten hoe kort dit is. Heeft u al een incidentresponsplan dat hierop is ingericht? Zo niet, begin daar vandaag mee.
De tijdlijn
| Datum | Gebeurtenis |
|---|---|
| December 2022 | NIS2-richtlijn aangenomen door EU |
| Oktober 2024 | Oorspronkelijke implementatiedeadline (niet gehaald door NL) |
| 2025 | Wetsvoorstel Cyberbeveiligingswet in behandeling bij Tweede Kamer |
| 1 juli 2026 | Verwachte inwerkingtreding Cyberbeveiligingswet |
Wat betekent de vertraging?
Nederland heeft de oorspronkelijke deadline van oktober 2024 niet gehaald. Dit betekent echter niet dat u kunt afwachten:
- De NIS2-richtlijn heeft directe werking op sommige punten
- Uw opdrachtgevers in andere EU-landen waar de wet wél al geldt, stellen nu al eisen
- De implementatie van cyberbeveiligingsmaatregelen kost tijd — begin nu om op 1 juli 2026 klaar te zijn
Samenvatting
- NIS2 = de Europese richtlijn die de kaders stelt
- Cyberbeveiligingswet = de Nederlandse wet die NIS2 implementeert
- De wet vervangt de oude Wbni en is op alle fronten strenger
- Verwachte inwerkingtreding: 1 juli 2026
- Meer dan 50.000 Nederlandse organisaties worden geraakt
De termen worden in de praktijk vaak door elkaar gebruikt, en dat is begrijpelijk — de inhoud overlapt grotendeels. Maar als u zich voorbereidt, focus dan op de Cyberbeveiligingswet, want dat is de wet die in Nederland geldt en gehandhaafd wordt.
Bron: EUR-Lex — NIS2-richtlijn (2022/2555)
Bron: Eerste Kamer — Cyberbeveiligingswet
Bron: NCTV — Cyberbeveiligingswet
Ontdek in 60 seconden of de Cyberbeveiligingswet op uw organisatie van toepassing is.
Doe de gratis NIS2 check