Naar hoofdinhoud

Gratis scope-check

Valt uw bedrijf onder de Cyberbeveiligingswet?

Doe de gratis NIS2 Scope-Check. In een paar korte vragen ziet u of u onder de wet valt , en meteen wat de AVG en de AI Act voor uw organisatie betekenen.

Indicatief · geen juridisch advies

Doe de check in 2 minuten

De Cyberbeveiligingswet (NIS2) wordt naar verwachting medio 2026 van kracht. Naar schatting vallen zo’n 8.000 organisaties er direct onder, en vele duizenden meer via hun opdrachtgevers in de keten.

Indicatief · geen juridisch advies

01De wet

Wat is de Cyberbeveiligingswet (NIS2)?

De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van de Europese NIS2-richtlijn. De Tweede Kamer nam het wetsvoorstel aan in april 2026; inwerkingtreding wordt medio 2026 verwacht, afhankelijk van de Eerste Kamer.

De wet verplicht organisaties in kritieke sectoren tot een zorgplicht, een meldplicht en registratie bij het NCSC, met een expliciete verantwoordelijkheid voor het bestuur. Het doel: de digitale weerbaarheid van vitale en belangrijke processen verhogen, en de risico’s in de toeleveringsketen beheersen.

02Toepassingsbereik

Wie valt eronder?

Twee factoren bepalen het: uw sector en uw omvang. De wet kent 18 sectoren, verdeeld over twee bijlagen.

Bijlage I · zeer kritieke sectoren

Kunnen essentieel zijn bij voldoende omvang.

  • Energie
  • Vervoer
  • Bankwezen
  • Infrastructuur financiële markten
  • Gezondheidszorg
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur
  • Beheer van ICT-diensten
  • Overheid
  • Ruimtevaart

Bijlage II · andere kritieke sectoren

Kunnen belangrijk zijn bij voldoende omvang.

  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Chemische sector
  • Maakindustrie / productie
  • Levensmiddelen
  • Digitale aanbieders
  • Onderzoeksorganisaties

De omvangsdrempel

Middelgroot (vanaf 50 medewerkers, óf meer dan €10 miljoen omzet/balanstotaal) → belangrijke entiteit. Groot (meer dan 250 medewerkers, of meer dan €50 miljoen omzet én €43 miljoen balans) in een Bijlage I-sector → essentiële entiteit. Kleiner en onder de financiële drempels? Dan valt u er in beginsel niet onder.

Altijd in scope, ongeacht omvang

Een aantal dienstverleners valt zonder uitzondering onder de wet: DNS-dienst­verleners en TLD-registers, aanbieders van domeinnaamregistratie, verleners van vertrouwensdiensten, aanbieders van openbare elektronische-communicatie­netwerken en overheidsorganisaties.

03Verplichtingen

Wat moet u doen als u eronder valt?

De Cyberbeveiligingswet kent vier kernverplichtingen. De concrete invulling van de zorgplicht volgt uit het Cyberbeveiligingsbesluit.

Zorgplicht

Tien categorieën van passende en evenredige technische en organisatorische maatregelen: van risicoanalyse en supply-chain-beveiliging tot MFA.

Meldplicht

Een significant incident melden bij het NCSC: binnen 24 uur een vroegtijdige waarschuwing, binnen 72 uur een melding en binnen een maand een eindverslag.

Registratieplicht

Organisaties die onder de wet vallen, registreren zich bij het NCSC (via mijn.ncsc.nl) met onder meer sector, contactgegevens en netwerkgegevens.

Bestuurlijke verantwoordelijkheid

Het bestuur keurt de maatregelen goed, houdt toezicht op de uitvoering en volgt training. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld.

De zorgplicht: tien maatregelen

  • 1Risicoanalyse en beveiligingsbeleid
  • 2Incidentenbehandeling
  • 3Bedrijfscontinuïteit en crisisbeheer
  • 4Beveiliging van de toeleveringsketen
  • 5Veilige ontwikkeling, verwerving en onderhoud
  • 6Beoordelen van de effectiviteit van maatregelen
  • 7Cyberhygiëne en opleiding
  • 8Cryptografie en encryptie
  • 9Personeels-, toegangs- en assetbeleid
  • 10Multifactorauthenticatie (MFA)

04In context

NIS2, AVG, AI Act en de financiële sector

NIS2 staat niet op zichzelf. Voor de meeste organisaties spelen meerdere kaders tegelijk. Onze scope-check laat ze in één keer zien; wij dekken ze in samenhang.

AVG

Altijd

Beschermt persoonsgegevens. Vrijwel elke organisatie heeft een verwerkingsregister, privacyverklaring, verwerkersovereenkomsten en een datalekprocedure nodig.

NIS2 / Cbw

Sector + omvang

Beschermt netwerk- en informatiesystemen in kritieke sectoren. Geldt direct bij voldoende omvang, of indirect via eisen van uw opdrachtgevers.

AI Act

Gefaseerd

Regelt het gebruik van AI-systemen. Verboden praktijken en AI-geletterdheid gelden al; de zwaardere eisen voor hoog-risico-AI volgen gefaseerd.

Wft / DORA

Financieel

Voor de financiële sector lopen de digitale-weerbaarheidseisen (mede) via de Wft en DORA, onder toezicht van DNB en de AFM.

05Veelgestelde vragen

Goed om te weten

Valt mijn bedrijf onder de Cyberbeveiligingswet (NIS2)?

Dat hangt af van twee dingen: uw sector en uw omvang. Zit u in een sector uit Bijlage I of II én heeft u 50 of meer medewerkers of meer dan €10 miljoen omzet/balanstotaal, dan valt u er in beginsel direct onder. Sommige dienstverleners (zoals DNS, domeinregistratie en vertrouwensdiensten) vallen er altijd onder, ongeacht omvang.

Wanneer treedt de Cyberbeveiligingswet in werking?

De Tweede Kamer nam het wetsvoorstel aan in april 2026. Inwerkingtreding wordt medio 2026 verwacht, afhankelijk van de behandeling in de Eerste Kamer en het bijbehorende besluit. De verplichtingen gelden direct vanaf inwerkingtreding (bestuurdersscholing kent een overgangstermijn).

Wat zijn de boetes onder de Cyberbeveiligingswet?

Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet (het hoogste bedrag geldt). Voor belangrijke entiteiten is dat tot €7 miljoen of 1,4%. Daarnaast kunnen toezichthouders aanwijzingen geven en een last onder dwangsom opleggen.

Ik val er niet direct onder. Ben ik dan veilig?

Niet per se. Organisaties die onder de wet vallen, moeten hun toeleveringsketen beveiligen en zullen beveiligingseisen aan hun leveranciers stellen. Ook als kleinere toeleverancier krijgt u zo via de keten met NIS2-eisen te maken.

Moet ik bij een incident dubbel melden (NIS2 én AVG)?

Mogelijk. Een cyberincident dat ook een datalek inhoudt, valt onder beide meldplichten, met verschillende termijnen en ontvangers: binnen 24 uur bij het NCSC (NIS2) en binnen 72 uur bij de Autoriteit Persoonsgegevens (AVG).

Liever even sparren over uw uitkomst?

In een vrijblijvend gesprek kijken we samen of u onder de wet valt, wat er voor u speelt en wat een logische eerste stap is. Geen verkooppraat, wel duidelijkheid.

Plan een vrijblijvend gesprek