Val ik onder NIS2?
De Cyberbeveiligingswet — de Nederlandse uitvoering van NIS2 — treedt op 15 augustus 2026 in werking. Zonder overgangsperiode. Met de zelfcheck hieronder weet u in twee minuten of de wet ook úw organisatie raakt: direct, of via uw klanten.
Wat de Cyberbeveiligingswet van organisaties vraagt
NIS2 is de Europese richtlijn voor digitale weerbaarheid; de Cyberbeveiligingswet (Cbw) maakt hem in Nederland van kracht. De wet is op 7 juli 2026 door de Eerste Kamer aangenomen en geldt vanaf 15 augustus 2026 voor ruim 8.000 organisaties. Wie eronder valt, krijgt drie concrete plichten: een zorgplicht (passende maatregelen nemen, ook voor risico's in de leveranciersketen), een meldplicht (ernstige incidenten binnen 24 uur vroegtijdig waarschuwen en binnen 72 uur rapporteren) en een registratieplicht bij het NCSC. Het bestuur is er zelf verantwoordelijk voor en moet erop toezien. Dat is geen IT-vraagstuk, maar een bestuurlijk vraagstuk.
De wet raakt meer bedrijven dan hij noemt
De meeste MKB-organisaties vallen niet zélf onder de Cyberbeveiligingswet. Maar hun grote klanten wél. En die moeten van diezelfde wet hun ketenrisico's beheersen. Dus stellen zij eisen aan hun leveranciers: vragenlijsten, contractvoorwaarden, bewijzen dat u uw zaken op orde heeft.
Herkent u dat? Een grote klant die ineens om een beveiligingsbijlage vraagt bij het contract? Dat ís NIS2 — die bereikt u niet via de wettekst, maar via uw orderportefeuille.
Val ik onder NIS2? Doe de check
De wet geldt voor organisaties in aangewezen sectoren. Controleer eerst of uw onderneming onder de wetgeving valt voor u de eerste vraag beantwoordt:
- Energie (elektriciteit, gas, warmte, waterstof)
- Drinkwater en afvalwater
- Transport en logistiek (weg, spoor, water, lucht)
- Bankwezen en financiële marktinfrastructuur
- Gezondheidszorg (incl. labs, farma, medische hulpmiddelen)
- Digitale infrastructuur en ICT-dienstverlening
- Overheid en ruimtevaart
- Post- en koeriersdiensten
- Afvalbeheer
- Chemie (productie en distributie)
- Levensmiddelen (productie, verwerking, distributie)
- Industrie en maakbedrijven (machines, elektronica, voertuigen)
- Digitale aanbieders (marktplaatsen, zoekmachines, sociale platforms)
- Onderzoeksorganisaties
Uw organisatie valt waarschijnlijk direct onder de Cyberbeveiligingswet
Sector plus omvang: op basis van uw antwoorden gelden de zorgplicht, de meldplicht (24 uur waarschuwen, 72 uur rapporteren) en de registratieplicht bij het NCSC waarschijnlijk rechtstreeks voor u. Vanaf 15 augustus 2026, zonder overgangsperiode. En aantoonbaar in control komen kost maanden, geen weken.
De eerste stap is niet een dik project, maar zicht: wat is er al, wat ontbreekt, wat raakt uw aansprakelijkheid als bestuurder?
U twijfelde bij de sectorvraag. Of uw activiteit precies onder de indeling valt, luistert nauw. Laat dat toetsen voordat u er conclusies aan verbindt.
Daarna weet u of CISO Essentials (structurele risicoregie per kwartaal) bij uw situatie past.
De wet raakt u waarschijnlijk via uw klanten — de keten
U valt zelf waarschijnlijk niet direct onder de Cyberbeveiligingswet. Maar u levert aan organisaties die dat wél doen. En die moeten hun ketenrisico's beheersen. In de praktijk betekent dat: vragenlijsten, beveiligingseisen in contracten, en de vraag om aan te tonen dat u in control bent. Wie daar een goed antwoord op heeft, houdt de klant — en wint er nieuwe mee.
Let op: in enkele sectoren, zoals digitale infrastructuur, geldt de wet ongeacht de omvang van uw organisatie. Laat dat even toetsen.
In 45 minuten weet u waar u staat tegenover de eisen van uw klanten, en daarna of CISO Essentials de logische vervolgstap is.
U valt waarschijnlijk niet direct onder de wet
Eerlijk is eerlijk: op basis van uw antwoorden is er geen directe plicht en geen duidelijke ketendruk. Paniek is dus niet nodig. Wel geldt: de eisen schuiven de komende jaren verder de keten in, en klanten die u vandaag niets vragen, kunnen dat volgend jaar wél doen.
Let op: in enkele sectoren, zoals digitale infrastructuur, geldt de wet ongeacht de omvang van uw organisatie. Laat dat even toetsen.
Deze zelfcheck is indicatief en geen juridisch advies. Of de wet op uw organisatie van toepassing is, hangt af van de precieze sectorindeling en aanwijzing; de wettekst is leidend.
Wat uw uitkomst ook is: begin met zicht
In de gratis Bestuurlijke Risico-Quickscan breng ik in 45 minuten uw situatie in kaart, langs zes bestuurlijke vragen. U krijgt een Risico-Foto van één pagina: waar u staat, uw drie grootste gaten, en wat die betekenen onder de Cyberbeveiligingswet. Geen verkoopgesprek, geen verplichting.