Cyberbeveiligingswet (NIS2) — in werking per 15 augustus 2026

Val ik onder NIS2?

De Cyberbeveiligingswet — de Nederlandse uitvoering van NIS2 — treedt op 15 augustus 2026 in werking. Zonder overgangsperiode. Met de zelfcheck hieronder weet u in twee minuten of de wet ook úw organisatie raakt: direct, of via uw klanten.

Wat de Cyberbeveiligingswet van organisaties vraagt

NIS2 is de Europese richtlijn voor digitale weerbaarheid; de Cyberbeveiligingswet (Cbw) maakt hem in Nederland van kracht. De wet is op 7 juli 2026 door de Eerste Kamer aangenomen en geldt vanaf 15 augustus 2026 voor ruim 8.000 organisaties. Wie eronder valt, krijgt drie concrete plichten: een zorgplicht (passende maatregelen nemen, ook voor risico's in de leveranciersketen), een meldplicht (ernstige incidenten binnen 24 uur vroegtijdig waarschuwen en binnen 72 uur rapporteren) en een registratieplicht bij het NCSC. Het bestuur is er zelf verantwoordelijk voor en moet erop toezien. Dat is geen IT-vraagstuk, maar een bestuurlijk vraagstuk.

De wet raakt meer bedrijven dan hij noemt

De meeste MKB-organisaties vallen niet zélf onder de Cyberbeveiligingswet. Maar hun grote klanten wél. En die moeten van diezelfde wet hun ketenrisico's beheersen. Dus stellen zij eisen aan hun leveranciers: vragenlijsten, contractvoorwaarden, bewijzen dat u uw zaken op orde heeft.

Herkent u dat? Een grote klant die ineens om een beveiligingsbijlage vraagt bij het contract? Dat ís NIS2 — die bereikt u niet via de wettekst, maar via uw orderportefeuille.

Zelfcheck: 3 vragen, 2 minuten

Val ik onder NIS2? Doe de check

De wet geldt voor organisaties in aangewezen sectoren. Controleer eerst of uw onderneming onder de wetgeving valt voor u de eerste vraag beantwoordt:

  • Energie (elektriciteit, gas, warmte, waterstof)
  • Drinkwater en afvalwater
  • Transport en logistiek (weg, spoor, water, lucht)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg (incl. labs, farma, medische hulpmiddelen)
  • Digitale infrastructuur en ICT-dienstverlening
  • Overheid en ruimtevaart
  • Post- en koeriersdiensten
  • Afvalbeheer
  • Chemie (productie en distributie)
  • Levensmiddelen (productie, verwerking, distributie)
  • Industrie en maakbedrijven (machines, elektronica, voertuigen)
  • Digitale aanbieders (marktplaatsen, zoekmachines, sociale platforms)
  • Onderzoeksorganisaties
1 Zit uw organisatie in een van deze sectoren?
2 Heeft uw organisatie 50 of meer medewerkers, óf zowel een jaaromzet als een balanstotaal boven de 10 miljoen euro?
3 Levert u producten of diensten aan organisaties die waarschijnlijk wél onder de wet vallen, zoals grote bedrijven, overheid, zorg of industrie?

Deze zelfcheck is indicatief en geen juridisch advies. Of de wet op uw organisatie van toepassing is, hangt af van de precieze sectorindeling en aanwijzing; de wettekst is leidend.

Wat uw uitkomst ook is: begin met zicht

In de gratis Bestuurlijke Risico-Quickscan breng ik in 45 minuten uw situatie in kaart, langs zes bestuurlijke vragen. U krijgt een Risico-Foto van één pagina: waar u staat, uw drie grootste gaten, en wat die betekenen onder de Cyberbeveiligingswet. Geen verkoopgesprek, geen verplichting.