NIS2 Boardroom Training

Wetgeving

NIS2 en Nederlandse wetgeving: van richtlijn naar Cyberbeveiligingswet

De Europese NIS2-richtlijn werkt in Nederland door via de Cyberbeveiligingswet, aangevuld met een Cyberbeveiligingsbesluit en nadere sectorale regels.

Wie zoekt op NIS2 Nederlandse wetgeving, zoekt meestal naar één praktische vraag: wat geldt er straks concreet in Nederland? De korte versie is dat de Europese NIS2-richtlijn in Nederland wordt uitgewerkt in de Cyberbeveiligingswet, met nadere invulling via het Cyberbeveiligingsbesluit en ministeriële regelingen.

Voor bestuur en toezicht is vooral van belang dat de hoofdlijn niet alleen juridisch is, maar bestuurlijk. De wet vertaalt cybersecurity naar registratie, zorgplicht, meldplicht, training, governance, toezicht en NIS2 implementatie.

Van Europese richtlijn naar nationale wetgeving

Een richtlijn werkt niet rechtstreeks uit zoals een verordening. Lidstaten moeten de inhoud vertalen naar nationale wetgeving. In Nederland gebeurt dat via de Cyberbeveiligingswet. Op 4 juni 2025 is het wetsvoorstel ingediend bij de Tweede Kamer. De behandeling loopt nog.

De onderdelen van het Nederlandse kader

Het Nederlandse kader bestaat niet alleen uit de wet zelf. Ook het Cyberbeveiligingsbesluit en de ministeriële regelingen zijn belangrijk. In dat stelsel worden onder meer de zorgplicht, de trainingsplicht, registratie, meldplicht en sectorspecifieke drempels nader uitgewerkt.

Wat nu al duidelijk is

  • de Cyberbeveiligingswet vervangt de huidige Wbni;
  • de registratie vindt in Nederland plaats via MijnNCSC;
  • de meldplicht kent in hoofdlijnen een gefaseerde opbouw van 24 uur, 72 uur en 1 maand;
  • het bestuur moet maatregelen goedkeuren, toezicht houden en training volgen;
  • de zorgplicht vraagt om passende en evenredige maatregelen op basis van risicoanalyse.

Wat nog in nadere regels wordt uitgewerkt

Niet alle details liggen al definitief vast. De precieze drempelcriteria voor meldplicht en de sectorspecifieke invulling van bepaalde zorgplichtmaatregelen worden in ministeriële regelingen verder uitgewerkt. Voor de bestuurskamer is het daarom verstandig om met een bestuurlijke hoofdlijn te werken en detailpunten later aan te scherpen.

Actuele planning

De regering en uitvoeringsorganisaties communiceren op dit moment een verwachte inwerkingtreding rond 1 juli 2026. Dat betekent dat organisaties nu feitelijk in de voorbereidingsfase zitten. Bestuurlijke stilstand is daarom meestal een groter risico dan een te vroege start.

Praktische vertaalslag voor bestuur, auditcommissie, RvC of RvT

Maak bestuurlijk onderscheid tussen vier vragen: vallen wij binnen scope, wat moeten wij aantoonbaar organiseren, welke belangen willen wij beschermen en welke rapportage hebben bestuur en toezicht nodig om te kunnen sturen? Die vierdeling helpt om wetgeving om te zetten in besluitvorming en planning.

Veelgestelde vragen over NIS2 Nederlandse wetgeving

Is NIS2 hetzelfde als de Cyberbeveiligingswet?

Niet helemaal. NIS2 is de Europese richtlijn; de Cyberbeveiligingswet is de Nederlandse nationale uitwerking daarvan.

Waarom is ook het Cyberbeveiligingsbesluit relevant?

Omdat nadere uitwerking niet alleen in de wet zelf staat, maar ook in onderliggende besluiten en ministeriële regelingen.

Moeten bestuurders nu al actie nemen?

Ja. De bestuurlijke hoofdlijn is duidelijk genoeg om nu al te beginnen met scope, risicoanalyse, leveranciersbeheersing, training en rapportage.

Volgende stap

Van juridische hoofdlijn naar bestuurlijke voorbereiding

Wilt u de Nederlandse uitwerking vertalen naar uw eigen organisatie? Gebruik de NIS2 quickscan of plan een NIS2 boardroom training.