NIS2 Boardroom Training

Cyberbeveiligingswet

Wat betekent de NIS2 Cyberbeveiligingswet voor Nederlandse organisaties?

De Cyberbeveiligingswet is de Nederlandse uitwerking van NIS2. Voor organisaties draait het straks om scope, registratie, zorgplicht, meldplicht, training en bestuurlijke verantwoording.

De term NIS2 Cyberbeveiligingswet wordt voor Nederlandse organisaties steeds concreter. Waar NIS2 de Europese richtlijn is, vormt de Cyberbeveiligingswet het nationale kader waarmee organisaties, bestuurders, toezichthouders en uitvoeringsinstanties uiteindelijk werken.

Voor veel organisaties is de kernvraag eenvoudig: wat betekent dit nu feitelijk voor ons? Het antwoord begint bij scope, registratie, zorgplicht, meldplicht, training, NIS2 eisen en bestuurlijke voorbereiding.

Stand van zaken in Nederland

Het wetsvoorstel voor de Cyberbeveiligingswet is op 4 juni 2025 bij de Tweede Kamer ingediend. De wet is nog in behandeling. Tegelijkertijd zijn besluitvorming, ministeriële regelingen en uitvoeringsvoorbereiding al in beweging. Organisaties doen er daarom verstandig aan nu al bestuurlijk voor te bereiden, zonder te wachten op de laatste detailregel.

Wanneer gaat de wet naar verwachting gelden?

De officiële overheidscommunicatie houdt momenteel rekening met inwerkingtreding rond 1 juli 2026. Eerder werd ook Q2 2026 genoemd. Voor bestuur en toezicht is vooral van belang dat de verplichtingen niet meer als ver weg moeten worden behandeld.

Wat organisaties concreet gaan voelen

  • beoordeling of de organisatie onder de wet valt;
  • registratie in het entiteitenregister via MijnNCSC als dat vereist is;
  • passende en evenredige zorgplichtmaatregelen op basis van risicoanalyse;
  • een werkbaar meldproces voor significante incidenten;
  • training van bestuursleden en goedkeuring van maatregelen door het bestuur;
  • periodieke bestuurlijke rapportage en toetsing van effectiviteit.

Belangrijke nuance voor leveranciers en ketenpartners

Niet iedere leverancier valt automatisch zelf onder de Cyberbeveiligingswet. Veel leveranciers worden vooral indirect geraakt, omdat organisaties die wel binnen scope vallen aanvullende eisen stellen aan hun toeleveranciers. Voor contracten, inkoop, audits en leveranciersgesprekken is dit onderscheid van belang.

Wat bestuur en toezicht nu al kunnen doen

  1. bepaal of en waarom uw organisatie waarschijnlijk binnen scope valt;
  2. breng kritieke processen, systemen en ketenafhankelijkheden in kaart;
  3. actualiseer de risicoanalyse en prioriteer zorgplichtmaatregelen;
  4. richt bestuurlijke rapportage, training en escalatie in;
  5. toets of registratie en meldplicht organisatorisch werkbaar zijn.

Veelgestelde vragen over de Cyberbeveiligingswet

Is de Cyberbeveiligingswet hetzelfde als NIS2?

NIS2 is de Europese richtlijn; de Cyberbeveiligingswet vormt de Nederlandse nationale uitwerking daarvan.

Kunnen organisaties zich al registreren?

Ja. Registratie via MijnNCSC is al mogelijk, terwijl de formele registratieplicht ingaat vanaf de inwerkingtreding van de wet.

Moeten alleen rechtstreeks geraakte organisaties iets doen?

Nee. Ook organisaties buiten de formele scope ervaren vaak indirecte druk vanuit klanten, ketenpartners of sectorale eisen.

Volgende stap

Van wetgeving naar bestuurlijke voorbereiding

Wilt u de Cyberbeveiligingswet vertalen naar uw eigen bestuur, RvC of RvT? Start met de NIS2 quickscan of plan een NIS2 boardroom training.