De Europese NIS2-richtlijn wordt in Nederland vertaald naar de Cyberbeveiligingswet (Cbw). Officieel treedt die waarschijnlijk in werking in het tweede kwartaal van 2026, maar voor organisaties die eronder vallen is dat geen reden om te wachten.
Om concreet te maken wat er verandert en wat organisaties nu kunnen doen, spreken we met Willemijn Rodenburg, relatiemanager bij Sentyron. Vanuit haar rol is zij nauw betrokken bij de doorvertaling van NIS2 naar de Nederlandse situatie.
Van NIS2 naar de Cyberbeveiligingswet: waar staan we nu?
Lidstaten van de Europese Unie zijn druk bezig om de NIS2 richtlijnen om te zetten naar nationale wetgeving. De oorspronkelijke deadline hiervoor was 17 oktober 2024, maar onder andere Nederland is hier nog mee bezig. De Nederlandse vertaling van NIS2 wordt de Cyberbeveiligingswet, en deze zal naar verwachting zal van kracht zijn vanaf het tweede kwartaal van 2026.
Wat betekent dat vandaag de dag concreet? Omdat Nederland de deadline van 17 oktober 2024 niet heeft gehaald, hebben organisaties die onder NIS2 vallen nu wel rechten, maar nog geen plichten. “Je kunt je bijvoorbeeld al registreren als essentiële of belangrijke entiteit,” vertelt Willemijn. “Je hebt dan recht op bijstand van het Nationaal Cyber Security Centrum (NCSC) bij incidenten, en toegang tot hun informatie. Maar de zorgplicht, meldplicht en sancties gelden pas zodra de wet in werking treedt.”
Zelfevaluatie-tool voor de Cyberbeveiligingswet
Voor de ongeveer 250 organisaties die al onder NIS1 vielen, is dit bekend terrein. Maar NIS2 vergroot het speelveld aanzienlijk. Nieuwe sectoren zoals post- en koeriersdiensten, productie, en verwerking en distributie van levensmiddelen vallen er nu ook onder. En zelfs binnen de bestaande NIS1-sectoren vallen straks méér organisaties onder de wet dan voorheen.
“Daar zitten ook organisaties tussen die zich nog helemaal niet bewust zijn dat ze straks onder deze wet vallen,” zegt Willemijn. Organisaties moeten zelf vaststellen of de Cyberbeveiligingswet op hen van toepassing is. Daarom heeft de Rijksoverheid een zelfevaluatie-tool ontwikkeld. “Dat zou het begin moeten zijn voor organisaties die nu aan de slag willen hiermee. Stel vast of je onder NIS2 valt, en of je dan wordt gezien als een essentiële of belangrijke entiteit,” stelt Willemijn.
Ze waarschuwt dat organisaties niet te lang moeten wachten met voorbereidingen: “Begin je nu pas en is je organisatie nog niet digitaal weerbaar, dan kost het je zomaar negen maanden om compliant te worden.”
Waar organisaties nu tegenaan lopen
Toch is het in de praktijk niet zo eenvoudig om meteen in actie te komen. Willemijn ziet dat veel organisaties tegen dezelfde obstakels aanlopen.
- Onwetendheid: organisaties weten soms niet dat ze onder de wet vallen.
- Kosten en prioriteiten: cybersecurity moet concurreren met andere investeringen.”
- Onzekerheid waar te beginnen: bedrijven zien de omvang van de opgave, maar missen een concreet plan.
Om houvast te geven, schetst Willemijn een praktisch stappenplan waar organisaties meteen mee aan de slag kunnen.
Concreet stappenplan om te voldoen aan de Cyberbeveiligingswet
Willemijn zet uiteen welke stappen je nu al kunt zetten om voorbereid te zijn op de Cyberbeveiligingswet: een risico-inventarisatie uitvoeren, beheersmaatregelen toepassen, het bestuur betrekken en registreren in het portaal.
Stap 1: Begin met een risico-inventarisatie
- Breng systemen, processen en data in kaart.
- Identificeer de grootste risico’s en dreigingen.
- Bepaal waar de eerste maatregelen nodig zijn.
- Schakel waar nodig een specialistische partij in.
Als uit de zelfevaluatie blijkt dat je inderdaad onder de Cyberbeveiligingswet valt, is de eerste stap het uitvoeren van een grondige risico-inventarisatie.
“Een risico-inventarisatie uitvoeren is echt een specialisme,” benadrukt Willemijn. “De meeste organisaties kennen hun processen wel, maar niet het dreigingslandschap.”
Stap 2: Pas de beheersmaatregelen toe
- Baseer maatregelen op je risicoanalyse.
- Toon aan dat je begrijpt wat de risico’s zijn en hoe je ze beheerst.
- Gebruik de thema’s uit de Cyberbeveiligingswet als leidraad.
Na de inventarisatie volgt het doorvoeren van maatregelen. “Welke dat zijn, verschilt per organisatie. Voor de één betekent dat segmentatie van netwerken, voor de ander juist awareness-trainingen. Er is geen standaardpakket; het gaat om maatwerk,” zegt Willemijn.
De NIS2 legt hierbij een grote verantwoordelijkheid bij organisaties zelf. Je moet kunnen uitleggen waarom je bepaalde keuzes maakt. “De wet geeft richting met thema’s zoals incidentrespons, ketenbeveiliging en cryptografie, maar je moet vooral kunnen uitleggen wat er in je organisatie gebeurt en dat je maatregelen daarop afstemt.”
“Zie het als een raamwerk. Je begint bij de grootste risico’s en bouwt van daaruit verder. Zo maak je de organisatie stap voor stap digitaal weerbaarder,” aldus Willemijn.
Stap 3: Betrek het bestuur
- Bestuurders zijn straks persoonlijk aansprakelijk.
- Zorg voor voldoende kennis via trainingen of opleidingen.
- Maak cybersecurity een vast agendapunt.
Een belangrijk nieuw onderdeel van de Cyberbeveiligingswet is de bestuurdersaansprakelijkheid. Dat betekent dat bestuurders niet langer alleen kunnen vertrouwen op hun IT- of securityafdeling, maar zelf voldoende kennis moeten hebben om beslissingen te begrijpen en te verantwoorden.
“Dat betekent dat ze een opleiding of training moeten volgen. Dat traject kun je nu al opstarten,” licht Willemijn toe. “Het bestuur moet echt snappen waar de risico’s zitten en welke keuzes er gemaakt worden. Uiteindelijk gaat het om de continuïteit van de organisatie.”
Stap 4: Registreer in het portaal
- Schrijf je in als essentiële of belangrijke entiteit.
- Leg gegevens vast zoals IP-ranges, hard- en software en noodcontactpersonen.
- Profiteer nu al van de rechten, zonder dat de plichten gelden.
- Wees voorbereid: registratie is verplicht zodra de wet ingaat.
Een onderdeel van de Cyberbeveiligingswet is de registratie in het officiële portaal. Het is verplicht om geregistreerd te zijn zodra de wet van kracht wordt, maar je kunt het nu al regelen.
“Het portaal invullen is niet iets dat je in een middag doet,” benadrukt Willemijn. “Je moet bijvoorbeeld inzichtelijk hebben welke IP-ranges je organisatie gebruikt, welke hard- en software je hebt, en wie de contactpersonen zijn in geval van nood. Hoe eerder je dit regelt, hoe beter. Je profiteert nu al van de rechten, en voorkomt straks stress op het moment dat registratie verplicht wordt.”
Toezicht op een open normenkader
Volgens Willemijn wordt toezicht een uitdagend onderdeel van de nieuwe wet. “Voor essentiële entiteiten komt er proactief toezicht: toezichthouders kijken actief mee of je de juiste maatregelen neemt. Voor belangrijke entiteiten gebeurt dat reactief, dus pas als er een incident is of een aanleiding ontstaat.”
Waar toezichthouders vooral op gaan letten? “Of je voldoende zicht en controle hebt op je organisatie. Als je kunt aantonen dat je stappen zet richting digitale weerbaarheid, dan is dat positief. Maar heb je een incident en heb je helemaal niets gedaan, dan wordt dat een heel ander gesprek.”
Er komt geen lijst met verplichte maatregelen. Het normenkader is bewust open gelaten. Organisaties moeten dus voortdurend kritisch blijven kijken of hun maatregelen echt bijdragen aan digitale weerbaarheid. Juist met oog op toekomstige ontwikkelingen, zoals post-quantumcryptografie.
“Dat klinkt misschien ver weg, maar dit soort ontwikkelingen gaan onvermijdelijk impact hebben op hoe we digitale veiligheid organiseren. Ook daar moeten toezichthouders en organisaties nu al rekening mee houden,” stelt Willemijn.
Complexe onderdelen van de Cyberbeveiligingswet
Een van de thema’s die expliciet in de Cyberbeveiligingswet genoemd wordt, is cryptografie. Organisaties moeten beleid en procedures hebben voor het gebruik van encryptie, schriftelijk vastgelegd en aantoonbaar toegepast. Daarbij hoort ook cryptografische behendigheid: de mogelijkheid om tijdig over te stappen op nieuwe technieken als de huidige kwetsbaar blijken. “Algoritmes kunnen verzwakken of door quantumcomputers worden gekraakt. Daarom moet je beleid zo inrichten dat je flexibel kunt overschakelen,” zegt Willemijn hierover.
In de praktijk spelen er daarnaast situaties die het naleven van de wet ingewikkelder maken. Dat geldt vooral voor organisaties met meerdere vestigingen in verschillende landen. “Stel dat je een hoofdkantoor in Nederland hebt, maar ook locaties in Duitsland of Frankrijk,” legt Willemijn uit. “Welke vestiging valt precies onder welke wet? En als er een incident plaatsvindt in het buitenland, moet je dat dan in Nederland melden?”
Netwerksegmentatie kan in zulke gevallen uitkomst bieden: “Door je Nederlandse netwerk goed te scheiden en af te schermen, houd je in ieder geval grip. Zo zorg je ervoor dat een incident in een buitenlandse vestiging niet automatisch je hele organisatie raakt.”
Daarnaast wijst Willemijn op de nauwe samenhang met de Wet weerbaarheid kritieke entiteiten (Wwke). De Cyberbeveiligingswet richt zich op digitale veiligheid, de Wwke op de bescherming van fysieke objecten en infrastructuur – maar in de praktijk gaan die twee hand in hand.
Van wet naar weerbaarheid
Voor organisaties die deze puzzel moeten leggen, is een integrale aanpak cruciaal. En juist daar ligt de kracht van Sentyron: het combineren van high-assurance security, cryptografie en netwerksegementatie om complexe vraagstukken te vertalen naar praktische, werkbare oplossingen. Juist waar falen geen optie is, biedt Sentyron zekerheid.
De Cyberbeveiligingswet vraagt van organisaties dan ook meer dan alleen compliance. Het gaat om echte digitale weerbaarheid: inzicht in risico’s, passende maatregelen, betrokken bestuur, voorbereiding op toezicht en beleid voor thema’s zoals cryptografie en segmentatie.
De boodschap is helder: wie nu begint, wint tijd en rust. “Voldoen aan de Cyberbeveiligingswet wordt dan geen lastige verplichting, maar een kans om je organisatie structureel veiliger en toekomstbestendiger te maken,” sluit Willemijn af.