NIS2 treedt op 1 juli 2026 in werking: wat elk Nederlands bedrijf nu moet weten

Op 1 juli 2026 treedt de Nederlandse Cyberbeveiligingswet (Cbw) — de uitwerking van de Europese NIS2-richtlijn — naar verwachting in werking. Voor 8.000 tot 10.000 organisaties in 18 kritieke sectoren betekent dit een fundamentele verschuiving: cybersecurity wordt voortaan geen IT-onderwerp maar een wettelijke bestuursverantwoordelijkheid. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld, boetes lopen op tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, en het MKB krijgt er via ketenverantwoordelijkheid indirect mee te maken — ook bedrijven die zelf niet onder de wet vallen. De Tweede Kamer stemde op 15 april 2026 in met het wetsvoorstel. De Eerste Kamer behandelt het nu en de inwerkingtreding lijkt vrijwel zeker.

Het kabinet had een achterstand goed te maken. De NIS2-richtlijn werd op 16 januari 2023 in werking gesteld door de Europese Unie, met een implementatie-deadline van 17 oktober 2024. Nederland haalde die niet. Duitsland en België wel. Anderhalf jaar later — en met meerdere uitstel-momenten achter de rug — wordt de Cyberbeveiligingswet (wetsvoorstel 36.764) nu definitief afgerond. De Eerste Kamercommissies voor Digitalisering en voor Justitie en Veiligheid bespraken op 23 juni 2026 de nadere procedure. De inwerkingtreding op 1 juli 2026 lijkt nog steeds haalbaar.

Inhoudsopgave

Wat de Cyberbeveiligingswet precies inhoudt

De Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van de Europese NIS2-richtlijn — Network and Information Security 2. De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) uit 2018 en breidt de scope aanzienlijk uit. Waar de oude wet zich beperkte tot een kleine groep vitale sectoren (energie, water, financiële instellingen, ziekenhuizen), trekt de Cbw het net veel breder.

Drie kernverplichtingen vormen het hart van de wet:

Zorgplicht — organisaties moeten aantoonbaar technische en organisatorische maatregelen treffen om cyberrisico’s te beheersen
Meldplicht — significante incidenten moeten binnen strakke termijnen worden gemeld bij het Nationaal Cyber Security Centrum (NCSC)
Registratieplicht — organisaties die onder de wet vallen moeten zich verplicht registreren in het entiteitenregister van het NCSC

Daarnaast gelden er specifieke verplichtingen rondom bestuurdersaansprakelijkheid en ketenverantwoordelijkheid — twee elementen die voor veel Nederlandse bedrijven het meest fundamentele verschil maken.

Twee soorten entiteiten

De wet onderscheidt twee categorieën organisaties met verschillende toezicht- en boetestructuur:

Essentiële entiteiten — grote organisaties in kritieke sectoren (ziekenhuizen, energiebedrijven, drinkwaterbedrijven). Vallen onder zowel proactief als reactief toezicht.
Belangrijke entiteiten — middelgrote organisaties in dezelfde sectoren plus aanvullende sectoren. Vallen alleen onder reactief toezicht, na een incident of signaal.

Het verschil zit ook in de boetes. Essentiële entiteiten kunnen tot €10 miljoen of 2 procent van de wereldwijde jaaromzet krijgen — het hoogste van de twee. Voor belangrijke entiteiten ligt het plafond op €7 miljoen of 1,4 procent. Voor Nederlandse ondernemers die overwegen hun bedrijfsstructuur te professionaliseren, is dit een serieus bedrag — vooral omdat de boete bovenop schade door incident en herstelkosten komt.

Wie valt onder de wet?

De toepassing van de Cyberbeveiligingswet hangt af van twee factoren: sector en omvang. Een organisatie valt automatisch onder de wet als beide criteria worden voldaan.

Sectoren

De 18 sectoren die onder de Cbw vallen, zijn verdeeld over twee bijlagen:

Bijlage 1 — Essentiële sectoren:

Energie (elektriciteit, gas, olie, warmte, waterstof)
Vervoer (lucht, spoor, water, weg)
Bankwezen
Infrastructuur financiële markten
Gezondheidszorg
Drink- en afvalwater
Digitale infrastructuur (cloud, datacenters, DNS, telecom)
ICT-dienstenbeheer (B2B)
Overheid
Ruimtevaart

Bijlage 2 — Belangrijke sectoren:

Post- en koeriersdiensten
Afvalverwerking
Chemie
Levensmiddelen
Producenten (kritische apparatuur, machines, voertuigen)
Aanbieders digitale diensten (online platforms, marktplaatsen, zoekmachines)
Onderzoek
Productie/distributie van chemische stoffen

Omvangsdrempels

Binnen deze sectoren geldt de size-cap: een organisatie valt automatisch onder de wet bij:

Meer dan 50 werknemers, of
Meer dan €10 miljoen jaaromzet of balanstotaal

Kleinere organisaties zijn doorgaans uitgezonderd — tenzij ze een kritieke rol vervullen die ze in een nationale vitaalbeoordeling alsnog onder de wet kan brengen. Dat is een uitzondering, maar relevant voor bijvoorbeeld kleine bedrijven met monopolieposities in regionale infrastructuur.

De zelfevaluatietool

De Rijksinspectie Digitale Infrastructuur heeft een zelfevaluatietool ontwikkeld waarmee organisaties snel kunnen nagaan of ze onder de Cyberbeveiligingswet vallen. Een paar minuten klikken op vragen over sector, activiteiten en omvang levert een uitslag op. Voor wie twijfelt: dit is het eerste startpunt.

De ketenverantwoordelijkheid — waar het MKB indirect mee te maken krijgt

Hier wordt het voor veel Nederlandse ondernemers interessant. Zelfs als jouw bedrijf niet direct onder de Cyberbeveiligingswet valt, kun je er indirect mee te maken krijgen via de ketenverantwoordelijkheid.

Organisaties die wél onder de wet vallen, zijn verplicht om hun toeleveranciers te controleren op cybersecurity. Dat is geen optie maar een wettelijke plicht: ze moeten aantoonbaar passende eisen stellen en toezicht houden op de correcte uitvoering van maatregelen door hun leveranciers. Wie risico’s loopt via zijn leveranciers, wordt zelf aansprakelijk.

Het ChipSoft-effect

Een schokkend voorbeeld uit april 2026 illustreert waarom ketenverantwoordelijkheid noodzakelijk is. ChipSoft — leverancier van elektronische patiëntdossiers — werd op 16 april 2026 getroffen door een ransomware-aanval. Patiëntportalen gingen offline, VPN-verbindingen werden verbroken, medische patiëntgegevens werden ontvreemd. Tientallen zorginstellingen kwamen zonder toegang tot hun digitale dossiers te zitten.

Volgens NOS gebruikt ongeveer 70 procent van de Nederlandse ziekenhuizen software van ChipSoft. Eén incident bij één leverancier was voldoende om een groot deel van de Nederlandse ziekenhuiszorg te raken. Dit is precies het scenario dat de Cyberbeveiligingswet wil voorkomen.

Voor MKB-bedrijven betekent dit: als je levert aan een ziekenhuis, energiebedrijf, telecom-aanbieder of andere NIS2-organisatie, krijg je vroeg of laat een leveranciersaudit. Die kan vragen omvatten over je beveiligingsmaatregelen, je incidentprocedures, je back-upstrategie en je eigen leveranciers. Vol je niet voldoet, riskeer je verlies van het contract.

Onze gids over cybersecurity voor MKB en ondernemers biedt het bredere kader om hier strategisch op voor te bereiden.

De 10 verplichte zorgmaatregelen

Het hart van de zorgplicht zijn tien minimummaatregelen die overeenkomen met artikel 21 van de NIS2-richtlijn. Geen menukaart waaruit je kunt kiezen — alle tien zijn verplicht.

Beleid inzake risicoanalyse en beveiliging van informatiesystemen — basisbeleid moet aantoonbaar zijn vastgesteld
Incidentenbehandeling — procedures voor detectie, analyse, escalatie en respons
Bedrijfscontinuïteit — back-upbeheer, noodvoorzieningen, crisisbeheer
Beveiliging van de toeleveringsketen — directe ketenverantwoordelijkheid
Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen — inclusief respons op kwetsbaarheden
Beleid en procedures voor beoordeling van maatregelen — niet alleen invoeren, ook controleren
Cyberhygiëne en opleiding — alle medewerkers moeten basis-cybersecurity-kennis hebben
Cryptografie en versleuteling — passende toepassing waar nodig
Personeelsbeveiliging, toegangsbeheer en activabeheer — wie heeft toegang tot wat
Multi-factor authenticatie (MFA), beveiligde spraak- en videoverbindingen, noodcommunicatie

De wet schrijft niet voor hoe je deze maatregelen invult — wel dat je elke maatregel aantoonbaar moet toepassen. Voor middelgrote ondernemingen kost dit typisch 4-6 maanden aan voorbereiding, mits er nog niets staat.

De meldplicht: 24 uur, 72 uur, 1 maand

Bij een significant cyberincident moet je in drie stappen melden:

Stap 1: 24 uur — vroegtijdige waarschuwing

Binnen 24 uur na de detectie van een significant incident moet je een vroegtijdige waarschuwing indienen bij het NCSC. Dat is een korte melding met basisinformatie: wat is er gebeurd, welke systemen zijn geraakt, wat is de potentiële impact.

Stap 2: 72 uur — vervolgmelding

Binnen 72 uur volgt een uitgebreidere vervolgmelding met meer details: de aard van de dreiging, de getroffen systemen, eerste analyse van de oorzaak en eventuele tegenmaatregelen die zijn genomen.

Stap 3: 1 maand — eindverslag

Binnen één maand stuur je het definitieve eindverslag: een complete analyse van het incident, inclusief root cause, impact, getroffen maatregelen en lessen voor de toekomst.

Verschil met AVG-meldplicht

Een belangrijk detail: de NIS2-meldplicht vervangt niet de AVG-meldplicht. Bij een cyberincident waarbij ook persoonsgegevens lekken, moet je op twee plekken melden:

NIS2-meldplicht → bij het NCSC
AVG-meldplicht → bij de Autoriteit Persoonsgegevens

Beide met de eigen termijnen. Dit lijkt administratief, maar als je er niet op bent voorbereid wordt het bij een incident snel chaotisch.

Bestuurdersaansprakelijkheid — de game-changer

Het meest disruptieve element van de Cyberbeveiligingswet is bestuurdersaansprakelijkheid. Het verandert cybersecurity van een IT-onderwerp naar een directe bestuursverantwoordelijkheid. “Dat regelt onze IT-leverancier” is geen verdediging meer.

Drie nieuwe bestuurlijke verplichtingen

Bestuurders krijgen drie expliciete plichten onder de Cyberbeveiligingswet:

Goedkeuringsplicht — alle cyberbeveiligingsmaatregelen moeten formeel door het bestuur worden goedgekeurd
Toezichtsplicht — het bestuur moet aantoonbaar toezicht houden op de uitvoering van de maatregelen
Opleidingsplicht — bestuurders moeten voldoende kennis hebben om die goedkeuring weloverwogen te kunnen geven, en moeten daartoe opleiding volgen

Persoonlijke aansprakelijkheid

Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld. In het uiterste geval kunnen ze tijdelijk uit hun functie worden gezet. Voor DGA’s en BV-bestuurders is dit een persoonlijk financieel risico dat veel verder gaat dan de bedrijfsverliezen — het raakt direct het privévermogen.

Een goede bestuurdersaansprakelijkheidsverzekering (D&O) kan deze financiële schade dekken, maar wegnemen kan ze niet. De plicht blijft persoonlijk. En de opleidingsplicht voor bestuurders gaat in werking zodra de wet van kracht wordt.

Wat moet je deze week doen?

Met inwerkingtreding op 1 juli 2026 hebben veel organisaties nog maar enkele dagen om concrete stappen te zetten. Acht acties die deze week prioriteit hebben.

1. Doe de zelfevaluatie

De NIS2-zelfevaluatietool van de Rijksinspectie Digitale Infrastructuur kost vijf minuten. Begin daar. Bij twijfel: ga ervan uit dat je eronder valt.

2. Inventariseer je leveranciers

Wie levert wat aan jou en wie lever jij aan? Maak een lijst van alle leveranciers en klanten die onder de Cyberbeveiligingswet kunnen vallen. Daar gaan vragen vandaan komen.

3. Voer een risicoanalyse uit

Welke dreigingen, kwetsbaarheden en impact heb je op je netwerk- en informatiesystemen? Dit is de basis voor alle verdere maatregelen.

4. Implementeer de basis-maatregelen

MFA op alle systemen, back-ups die offline of immutable zijn, security awareness training voor medewerkers, een incident-response-plan. Deze vier maatregelen alleen al verlagen je risico drastisch.

5. Oefen de meldprocedure

24 uur klinkt als veel. Het is het niet. Oefen één keer hoe je een melding zou indienen bij het NCSC. Wie het in een crisisrespons voor het eerst doet, verliest waardevolle tijd.

6. Bespreek bestuurdersaansprakelijkheid

Heeft je bestuur de D&O-verzekering op orde? Zijn er trainingen geboekt? Wie tekent voor wat?

7. Bekijk je cyberverzekering

Sluit je cyberverzekering goed aan op de Cyberbeveiligingswet-eisen? Veel polissen worden in 2026 aangepast met aanvullende clausules over NIS2-compliance.

8. Documenteer alles

Bij een incident of audit moet je kunnen aantonen wat je hebt gedaan. Documentatie is daarmee zelfs belangrijker dan de maatregelen zelf. Houd een register bij van besluiten, controles en updates.

Voor wie levert aan NIS2-bedrijven

Voor MKB-bedrijven die zelf niet onder de wet vallen maar wel aan NIS2-bedrijven leveren, zijn er drie strategische stappen.

Stap A: Vraag het na

Vraag je grote klanten of zij onder de Cyberbeveiligingswet vallen. Zo niet — ben je waarschijnlijk veilig. Wel — je krijgt vroeg of laat een leveranciersaudit.

Stap B: Bereid certificering voor

Sommige certificeringen worden de standaard om aan NIS2-bedrijven te kunnen leveren:

ISO 27001 — internationaal informatiebeveiligingsstandaard
NIS2 Supply Chain (NIS2-SC10) — specifiek voor leveranciers
NEN 7510 — voor gezondheidssector

Een certificeringstraject kost typisch 3-6 maanden en €5.000-€25.000 afhankelijk van bedrijfsomvang. Maar zonder certificering kun je vanaf 2027 of 2028 mogelijk geen contracten meer winnen bij grote klanten.

Stap C: Maak het strategisch

Cybersecurity wordt een verkoopargument. Wie aantoonbaar veilig is, heeft een voorsprong op concurrenten die dat niet hebben. Voor snelgroeiende bedrijven die hun zakelijke groei systematisch willen aanpakken, is NIS2-compliance een investering die zich snel terugverdient.

De fiscale en verzekeringsaspecten

Een onderdeel dat veel bedrijven over het hoofd zien: de cybersecurity-investeringen die je in 2026 doet, zijn doorgaans fiscaal aftrekbaar als bedrijfskosten.

Aftrekposten

Investeringen in beveiligingssoftware — afschrijfbaar over gebruiksduur
Certificeringskosten — direct aftrekbaar als bedrijfskosten
Audits en consultancy — direct aftrekbaar
Trainingen voor medewerkers — aftrekbaar als personeelskosten

Bovendien kunnen sommige investeringen kwalificeren voor de kleinschaligheidsinvesteringsaftrek (KIA) — een extra aftrek bovenop de gewone afschrijving. Voor wie zijn fiscale positie strategisch wil bekijken, biedt onze pillar over belastingen voor ondernemers in Nederland een breder kader.

Verzekeringen aanpassen

Onze gids over cyberverzekering voor bedrijven bespreekt uitgebreid hoe NIS2 de verzekeringsmarkt verandert. Verzekeraars worden strenger in hun acceptatie — MFA en back-ups worden vrijwel verplicht — maar bieden ook bredere dekking voor NIS2-claims. Voor de complete blik op zakelijke verzekeringen, raadpleeg de pillar over verzekeringen voor Nederlandse ondernemers.

Wat als de Eerste Kamer niet instemt?

Het kabinet rekent op instemming, en de signalen daarvoor zijn positief. Maar wat als het toch anders loopt?

Drie scenario’s:

Scenario 1: Eerste Kamer stemt in (meest waarschijnlijk)

De wet treedt op 1 juli 2026 in werking. Organisaties moeten direct voldoen aan alle verplichtingen — er is geen overgangstermijn. Het verschil tussen voorbereiding en geen voorbereiding wordt direct duidelijk in eventuele incidenten of audits.

Scenario 2: Tijdelijke vertraging

De Eerste Kamer kan amendementen of additionele bespreking eisen. In dat geval verschuift de inwerkingtreding mogelijk naar september of oktober 2026. De verplichtingen zelf veranderen niet wezenlijk.

Scenario 3: Significante wijziging

In het meest onverwachte scenario zou de Eerste Kamer fundamentele aanpassingen kunnen eisen. Dit lijkt zeer onwaarschijnlijk gezien de eerdere unanieme behandeling in de Tweede Kamer en de noodzaak om de EU-deadline (die al ruim 18 maanden geleden was) niet verder te overschrijden.

De boodschap voor 1 juli 2026

De Cyberbeveiligingswet is geen optionele wet die je later kunt aanpakken. Voor 8.000 tot 10.000 organisaties direct, en duizenden meer via ketenverantwoordelijkheid, verandert cybersecurity per 1 juli 2026 fundamenteel.

Wie nu nog wacht met voorbereiding, accepteert drie risico’s tegelijk. Ten eerste: het verlies van klantcontracten doordat NIS2-bedrijven hun leveranciers strenger gaan controleren. Ten tweede: persoonlijke aansprakelijkheid voor bestuurders bij grove nalatigheid. Ten derde: boetes die in de miljoenen kunnen lopen bij overtredingen, plus de financiële schade van eventuele incidenten zelf.

Wie wel nu actie onderneemt, kan dit moment juist gebruiken om vooruit te lopen op concurrenten. Een goed georganiseerd cybersecurity-beleid wordt vanaf 2026 een verkoopargument bij grote klanten. Een bestuur dat aantoonbaar bestuurlijke verantwoordelijkheid neemt voor cybersecurity, voldoet niet alleen aan de wet maar geeft ook investeerders en aandeelhouders meer vertrouwen.

De vraag is niet meer of je cybersecurity serieus neemt. De vraag is hoe snel je dat kunt bewijzen.

Veelgestelde vragen

Wanneer treedt de Cyberbeveiligingswet in werking?

Naar verwachting op 1 juli 2026. De Tweede Kamer stemde op 15 april 2026 in met het wetsvoorstel. De Eerste Kamer behandelt het nu — op 23 juni 2026 werd de nadere procedure besproken. Bij instemming treedt de wet zonder overgangstermijn direct in werking.

Valt mijn bedrijf onder de Cyberbeveiligingswet?

Twee criteria. Ten eerste: actief in één van de 18 sectoren genoemd in de bijlages van de wet (energie, transport, zorg, digitale infrastructuur, productie, etc.). Ten tweede: meer dan 50 medewerkers, of meer dan €10 miljoen jaaromzet of balanstotaal. Voldoe je aan beide criteria, val je automatisch onder de wet. Bij twijfel: gebruik de zelfevaluatietool van de Rijksinspectie Digitale Infrastructuur.

Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet?

NIS2 is de Europese richtlijn (Network and Information Security 2). De Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van deze richtlijn naar nationale wetgeving. Het verschil is relevant — de Nederlandse wet kan op punten strenger of specifieker zijn dan de richtlijn zelf. De kern blijft hetzelfde: organisaties in kritieke sectoren moeten cyberveiligheid structureel op orde hebben.

Hoe hoog zijn de boetes onder NIS2?

Voor essentiële entiteiten tot €10 miljoen of 2 procent van de wereldwijde jaaromzet — het hoogste bedrag geldt. Voor belangrijke entiteiten tot €7 miljoen of 1,4 procent. Dit zijn maxima — de toezichthouder bepaalt de hoogte per overtreding.

Hoe zit het met de meldplicht?

Drie stappen. Binnen 24 uur na detectie een vroegtijdige waarschuwing bij het NCSC. Binnen 72 uur een uitgebreidere vervolgmelding. Binnen één maand een eindverslag met root cause-analyse. Bij incidenten met persoonsgegevens moet je ook nog aan de AVG-meldplicht voldoen (bij de Autoriteit Persoonsgegevens) — die twee meldplichten lopen parallel.

Wat is bestuurdersaansprakelijkheid onder NIS2?

Bestuurders krijgen drie nieuwe plichten: cybersecurity-maatregelen formeel goedkeuren, toezicht houden op de uitvoering, en zelf opleiding volgen om dit weloverwogen te kunnen doen. Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld en zelfs tijdelijk uit hun functie worden gezet. Een D&O-verzekering kan de financiële schade dekken maar de plicht zelf blijft persoonlijk.

Wat is ketenverantwoordelijkheid?

Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht hun toeleveranciers te controleren op cybersecurity. Ook als jouw MKB-bedrijf zelf niet direct onder de wet valt, kun je via klanten die wel onder NIS2 vallen, te maken krijgen met audits, certificeringseisen of contractuele cybersecurity-eisen. Bij niet-voldoen riskeer je verlies van klantcontracten.

Welke certificeringen helpen?

Drie veelgebruikte certificeringen die NIS2-compliance ondersteunen: ISO 27001 (internationaal), NEN 7510 (specifiek voor zorgsector) en NIS2 Supply Chain (NIS2-SC10) (specifiek voor leveranciers van NIS2-organisaties). Een traject kost typisch 3-6 maanden en €5.000-€25.000 afhankelijk van bedrijfsomvang.

Wat zijn de tien verplichte zorgmaatregelen?

Risicoanalyse, incidentenbehandeling, bedrijfscontinuïteit, beveiliging toeleveringsketen, beveiliging bij systeemontwikkeling, beoordelingsprocedures, cyberhygiëne en opleiding, cryptografie, toegangsbeheer, en multi-factor authenticatie plus beveiligde communicatie. Alle tien zijn verplicht — geen menukaart om uit te kiezen.

Hoe sluit een cyberverzekering aan op de Cyberbeveiligingswet?

Een cyberverzekering dekt typisch de financiële gevolgen van een cyberincident — kosten van dataherstel, forensisch onderzoek, juridische advies, eventueel ransomware en bedrijfsschade. Veel cyberverzekeringen breiden hun dekking nu uit met clausules voor NIS2-compliance en boetes. Maar belangrijk: een verzekering vervangt niet de zorgplicht zelf. Je moet de maatregelen toch nemen — de verzekering is voor de gevallen dat het misgaat.

Wat is de relatie tussen NIS2 en AVG?

NIS2 en AVG zijn verschillende wetten met verschillende doelen. AVG (sinds 2018) beschermt persoonsgegevens en valt onder toezicht van de Autoriteit Persoonsgegevens. NIS2 (vanaf 1 juli 2026) waarborgt cybersecurity bij essentiële en belangrijke entiteiten en valt onder toezicht van het NCSC en de Rijksinspectie Digitale Infrastructuur. Bij een cyberincident met persoonsgegevens-impact moet je doorgaans aan beide meldplichten voldoen.

Wat moet ik echt deze week doen?

Drie acties met de hoogste prioriteit. Eén: doe de NIS2-zelfevaluatie om te bepalen of je onder de wet valt. Twee: inventariseer of je klanten en leveranciers onder de wet vallen (ketenverantwoordelijkheid). Drie: implementeer in elk geval de basis-cybermaatregelen: MFA, back-ups, security awareness training en een incident-response-plan. Deze stappen zijn ook zinvol als je niet onder de wet valt — ze verlagen het cyberrisico fundamenteel.