Nederland voert de Cybersecuritywet in, de nationale uitwerking van de Europese NIS2-richtlijn. De regels gelden voor organisaties in vitale sectoren en voor belangrijke digitale dienstverleners in ons land. De invoering gebeurt nu, nadat Nederland als één van de laatste EU-landen was met deze wet. Doel is betere beveiliging en duidelijke boetes bij nalatigheid.
Nederland loopt in op EU-achterstand
De NIS2-richtlijn (Network and Information Security 2) legt in de hele EU minimale eisen voor digitale veiligheid vast. De Europese deadline voor omzetting in nationale wet was oktober 2024. Nederland sluit daar nu op aan en trekt de regels gelijk met andere lidstaten. Dat verkleint juridische onzekerheid voor bedrijven die in meerdere EU-landen actief zijn.
De Cybersecuritywet gaat na publicatie in het Staatsblad gefaseerd gelden. Op het moment van schrijven maken ministeries en toezichthouders de laatste uitvoeringsregels en handreikingen bekend. Organisaties krijgen zo kort mogelijk, maar werkbaar, tijd om processen aan te passen. De bedoeling is dat toezicht snel en eenduidig start.
De Europese Commissie kan bij te late of gebrekkige invoering een inbreukprocedure starten. Met de Nederlandse stap wordt dat risico kleiner. Voor bedrijven is de boodschap helder: dezelfde basisnormen gelden straks in de hele EU. Dat helpt bij planning en inkopen over grenzen heen.
Veel meer sectoren vallen eronder
De wet geldt voor middelgrote en grote organisaties in achttien sectoren. Het gaat om energie, zorg, drinkwater, digitale infrastructuur, transport en delen van de overheid. Ook producenten in cruciale ketens, afval- en postbedrijven en financiële marktpartijen vallen in scope. Zo ontstaat een brede veiligheidsbasis rond voorzieningen die iedereen gebruikt.
Digitale dienstverleners krijgen nu ook plichten. Denk aan cloudplatforms, datacenters, domeinnaambeheerders en beheerde IT-diensten (managed service providers). Zij vormen vaak de toegangspoort tot veel bedrijven tegelijk. Daarom gelden juist voor deze schakels extra eisen aan beheer en continuïteit.
Kleine bedrijven blijven meestal buiten de wet. Toch merken zij de effecten via hun opdrachtgevers. Grote klanten zullen strengere beveiliging in contracten eisen, bijvoorbeeld over updates, back-ups en meldplichten. Zo versterkt de keten als geheel.
Strengere eisen en meldtermijnen
Organisaties moeten aantoonbaar basismaatregelen treffen. Dat zijn onder meer risicobeoordeling, multifactor-authenticatie, versleuteling en tijdige updates. Ook horen daarbij noodplannen, back-ups, loggen en training van personeel. Het doel is schade beperken en snel herstellen na een cyberaanval.
Incidenten met “significante impact” moeten snel worden gemeld. NIS2 werkt met drie stappen: een vroege waarschuwing binnen 24 uur, een uitgebreide melding binnen 72 uur en een eindrapport binnen een maand. Deze termijnen zijn kort, dus een getest draaiboek is nodig. Zonder voorbereiding is voldoen bijna niet haalbaar.
De meldingen gaan naar het nationale computercrisisteam (CSIRT) en de toezichthouder. In Nederland vervult het Nationaal Cyber Security Centrum (NCSC) de CSIRT-rol voor overheid en vitale sectoren. Voor het brede bedrijfsleven is er afstemming met bestaande loketten. Zo komen technische hulp en toezicht beter bij elkaar.
Boetes en bestuurdersaansprakelijkheid
De Cybersecuritywet introduceert duidelijke sancties. Toezichthouders kunnen hoge boetes opleggen bij ernstige of herhaalde overtredingen. Bestuurders moeten actief toezien op naleving en kunnen persoonlijk maatregelen voelen. Dat vergroot de druk op governance en verslaglegging.
De hoogte van boetes volgt de Europese bandbreedtes. Voor “essentiële” entiteiten lopen die op tot miljoenen euro’s of een percentage van de wereldwijde omzet. Voor “belangrijke” entiteiten gelden iets lagere maxima. Op het moment van schrijven bereiden Nederlandse toezichthouders de exacte boetebeleidsregels voor.
Maximale boete onder NIS2: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten; tot 7 miljoen euro of 1,4% voor belangrijke entiteiten.
Naast geldboetes zijn er andere interventies mogelijk. Toezichthouders kunnen bindende aanwijzingen geven of audits opleggen. In het uiterste geval kan tijdelijk een bestuurder worden geschorst. Dat maakt naleving een direct bestuursverantwoordelijkheid.
Toezicht en Nederlandse uitvoering
De Rijksinspectie Digitale Infrastructuur (RDI) wordt de centrale toezichthouder voor veel sectoren. Sectorale autoriteiten houden toezicht binnen hun domein, in afstemming met RDI. Denk aan financiële en zorgtoezichthouders voor hun eigen ketens. Zo blijft expertise dicht bij de praktijk.
Het NCSC fungeert als technisch knooppunt voor dreigingsinformatie en incidentrespons. Bedrijven krijgen via duidelijke meldkanalen ondersteuning bij acute aanvallen. Dit sluit aan op bestaande Nederlandse structuren zoals het Digital Trust Center voor het brede mkb. Samenwerking moet dubbele lasten voorkomen.
De Cybersecuritywet raakt aan andere EU-regels. In de financiële sector geldt ook DORA, de verordening voor digitale weerbaarheid van banken en verzekeraars. Voor fysieke weerbaarheid bestaat de CER-richtlijn. Organisaties moeten deze kaders samenhangend toepassen.
Koppeling met AVG en AI-regels
De wet staat naast de AVG, de Europese privacywet. Bij een datalek blijven AVG-meldingen aan de Autoriteit Persoonsgegevens binnen 72 uur verplicht. Veel organisaties zullen een gecombineerd meldproces inrichten. Eén loket intern, met twee juridische routes extern.
Voor kunstmatige intelligentie geldt de Europese AI‑verordening. Wie hoog-risico AI inzet in vitale sectoren moet straks extra eisen volgen, zoals logging en menselijk toezicht. Die sluiten aan op NIS2-maatregelen, zoals risicobeheer en incidentrespons. Samen verhogen ze zowel veiligheid als verantwoord gebruik.
Praktisch betekent dit: richt governance breed in. Combineer security, privacy en AI-compliance in één risicoraamwerk. Zo voorkomt u losse eisen en dubbele audits. Dat bespaart tijd en verkleint fouten.
Wat organisaties nu moeten doen
Breng eerst in kaart of u onder de wet valt. Kijk naar sector, omvang en rol in de keten. Wijs een verantwoord bestuurder en een security officer aan. Leg taken en budget vast in beleid en jaarplan.
Voer daarna een gap-analyse uit op de NIS2-eisen. Controleer toegang, patches, back-ups, monitoring en versleuteling. Test het incidentdraaiboek met een oefening. Regel meldroutes en bereikbaarheid 24/7.
Pak ten slotte de keten aan. Herzie contracten met leveranciers op updates, logging en meldingstermijnen. Vraag bewijs van beveiligingsmaatregelen, bijvoorbeeld via audits of certificaten. Dit beperkt uitval via toeleveranciers en voldoet aan de NIS2-ketenplicht.
