De NIS2-richtlijn breidt de Europese cybersecurity-eisen fors uit. In Nederland wordt dit vertaald naar de Cyberbeveiligingswet (Cbw). Waar de oude regels alleen voor een handvol vitale sectoren golden, vallen onder NIS2 veel méér organisaties, inclusief hun toeleveranciers.
Val ik onder de wet?
Of je onder NIS2/Cbw valt, hangt af van twee dingen: je sector en je omvang.
- Essentiële entiteiten: onder andere energie, drinkwater, transport, banken, zorg en digitale infrastructuur.
- Belangrijke entiteiten: onder andere post, afvalbeheer, levensmiddelen, chemie en aanbieders van digitale diensten.
Daarbij geldt vaak een drempel op basis van omvang (doorgaans vanaf middelgrote organisaties: 50+ medewerkers of meer dan €10 miljoen omzet). Let op: ook als je zelf niet rechtstreeks onder de wet valt, kun je via de leveranciersketen alsnog met de eisen te maken krijgen.
Wat verwacht de wet?
De kern bestaat uit twee plichten:
- Zorgplicht: passende technische en organisatorische maatregelen nemen om risico’s te beheersen. Denk aan risicomanagement, incidentafhandeling, business continuity, toeleveringsketenbeveiliging en toegangsbeleid.
- Meldplicht: significante incidenten binnen strakke termijnen melden bij de toezichthouder (een eerste melding al binnen 24 uur).
Bestuurders worden bovendien persoonlijk verantwoordelijk voor het toezicht op deze maatregelen.
Wat kun je nu al doen?
Wachten tot de handhaving start is geen strategie. Drie concrete stappen:
- Bepaal je reikwijdte. Val je onder de wet, en zo ja, als essentiële of belangrijke entiteit?
- Doe een gap-analyse. Toets je huidige beheersing tegen de zorgplicht en maak de gaten concreet.
- Prioriteer. Pak eerst de maatregelen aan met de grootste impact op risico én compliance.
Veel organisaties die al ISO 27001 of de BIO volgen, hebben een flinke voorsprong: de bouwstenen overlappen grotendeels.
Wil je weten waar jouw organisatie staat? Onze NIS2 / Cbw gap-analyse geeft binnen enkele weken een helder beeld.