De Cyberbeveiligingswet komt eraan: dit regel je vóór 1 juli

Het heeft lang geduurd, maar nu gaat het snel. Op 15 april 2026 nam de Tweede Kamer de Cyberbeveiligingswet aan — de Nederlandse invulling van de Europese NIS2-richtlijn. Begin juni bracht de Eerste Kamer haar voorlopig verslag uit, en als de senaat instemt is de beoogde ingangsdatum 1 juli 2026. Geen "ooit komt die wet er wel" meer: dit speelt nu, deze maand.

In dit artikel zetten we op een rij wat de wet inhoudt, hoe je bepaalt of jouw organisatie eronder valt (het antwoord is vaker "ja" dan je denkt) en welke vijf maatregelen je sowieso wilt regelen — wet of geen wet.

De basis van NIS2 — welke sectoren, welke bedrijfsgroottes — hebben we eerder uitgelegd in valt jouw bedrijf onder de NIS2-richtlijn? Dit artikel gaat over de actuele stand en de concrete voorbereiding.

Van Europese richtlijn naar Nederlandse wet

NIS2 is een Europese richtlijn en werkt niet rechtstreeks: elke lidstaat moet hem omzetten in nationale wetgeving. Dat had uiterlijk 17 oktober 2024 moeten gebeuren — Nederland is dus ruim anderhalf jaar te laat. Die vertraging heeft veel bedrijven in slaap gesust: de verplichtingen leken steeds iets voor later.

Dat uitstel is nu voorbij. De wet is door de Tweede Kamer, ligt bij de Eerste Kamer en de overheid stuurt aan op inwerkingtreding rond 1 juli 2026. Bedrijven die wachten op "definitieve duidelijkheid" hebben straks geen voorbereidingstijd meer: de zorgplicht geldt vanaf dag één.

Val je eronder? De twee vragen die je moet stellen

Vraag 1: zit je in een aangewezen sector én ben je groot genoeg? De wet geldt voor organisaties in sectoren als zorg, transport, energie, digitale infrastructuur, overheid, post, afval, voedsel, chemie en maakindustrie — grofweg vanaf 50 medewerkers of 10 miljoen euro jaaromzet. Grotere organisaties in kritieke sectoren worden "essentiële entiteit", de rest "belangrijke entiteit". Het verschil zit vooral in het toezicht: essentiële entiteiten krijgen proactief toezicht, belangrijke entiteiten achteraf.

Vraag 2 — en deze wordt vaak gemist: lever je aan bedrijven die eronder vallen? De wet verplicht entiteiten om de beveiliging van hun *toeleveranciers* op orde te brengen. Ben je softwareleverancier, installatiebedrijf, logistiek dienstverlener of administratiekantoor voor een ziekenhuis, energiebedrijf of voedselproducent? Dan krijg je de eisen via je klant doorgeschoven — in leverancierseisen, audits en contractbijlagen. Formeel val je niet onder de wet; praktisch wel.

Voor de zorg komt daar nog iets bij: wie al aan NEN 7510 werkt (de norm voor informatiebeveiliging in de zorg), heeft een flinke voorsprong — de zorgplicht-maatregelen overlappen grotendeels.

Wat de wet van je vraagt

De Cyberbeveiligingswet kent drie kernverplichtingen:

• Zorgplicht — passende technische en organisatorische maatregelen: risicobeheer, incidentafhandeling, back-ups en herstel, leveranciersbeheer, MFA, encryptie en security-awareness voor medewerkers. Het bestuur is hiervoor persoonlijk verantwoordelijk en moet aantoonbaar geschoold zijn.
• Meldplicht — ernstige incidenten binnen 24 uur vroegtijdig waarschuwen bij het CSIRT, binnen 72 uur volledig melden.
• Registratieplicht — je organisatie registreren bij de toezichthouder.

De boetes liegen er niet om: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Maar eerlijk is eerlijk: de echte motivatie hoort niet de boete te zijn. De maatregelen die de wet vraagt zijn dezelfde die voorkomen dat een ransomware-aanval je bedrijf weken platlegt.

De vijf maatregelen die je nu regelt (wet of geen wet)

In onze praktijk zien we dat organisaties die deze vijf zaken op orde hebben, het overgrote deel van de zorgplicht al afdekken:

1. MFA op alles. Multifactorauthenticatie op e-mail, werkplek en alle bedrijfsapplicaties. Nog altijd de maatregel die de meeste aanvallen stopt.
2. Back-ups die je getest hebt. Dagelijks, automatisch, en minstens één keer per kwartaal een hersteltest. Een back-up die je nooit hebt teruggezet is een aanname, geen zekerheid.
3. Een incidentplan van één A4. Wie bel je, wie besluit, wie communiceert — binnen 24 uur melden lukt alleen als die vragen vooraf beantwoord zijn.
4. Zicht op je leveranciers. Welke partijen kunnen bij jouw systemen en data, en welke afspraken liggen daarover vast?
5. Medewerkers die phishing herkennen. Awareness-training en periodieke phishing-simulaties — de mens blijft de meest aangevallen schakel.

Werk je op een beheerde online werkplek, dan zijn de eerste twee punten daar al onderdeel van: MFA, dagelijkse back-ups, monitoring en patching zitten in het beheer. Dat is geen volledige NIS2-compliance — de organisatorische kant blijft jouw werk — maar het technische fundament staat dan wel.

Hoe je vandaag begint

Begin niet met een dik complianceproject; begin met weten waar je staat. Doe de NIS2-check om te zien of en hoe de wet jouw organisatie raakt, of vraag de gratis IT-check aan — zeven vragen, en je krijgt een persoonlijke roadmap met de gaten die je vóór 1 juli wilt dichten. Liever direct sparren met een specialist? Plan een adviesgesprek — vrijblijvend, via Teams of telefonisch.

*Virtual Computing is ISO 27001-gecertificeerd en werkt voor zorgklanten volgens NEN 7510. De maatregelen uit dit artikel passen wij dagelijks toe in het beheer van onze eigen infrastructuur en die van onze klanten.*