NIS2 wet stap dichterbij: wetsvoorstel aangenomen door Tweede Kamer

NIS2 wet wetvoorstel Tweede Kamer
  • Deel bericht

De invoering van NIS2 komt steeds dichterbij. De Tweede Kamer heeft inmiddels ingestemd met de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Daarmee wordt duidelijk dat digitale veiligheid niet langer vrijblijvend is, maar een aantoonbare verplichting wordt.

Van Europese richtlijn naar Nederlandse wetgeving

NIS2 is een Europese richtlijn die bedoeld is om de digitale weerbaarheid binnen de EU te versterken. Lidstaten zijn verplicht deze richtlijn te vertalen naar nationale wetgeving. In Nederland gebeurt dat via de NIS2 Cyberbeveiligingswet, die naar verwachting dit jaar in werking treedt. De Tweede Kamer heeft het wetsvoorstel dus aangenomen, nu moet het alleen nog door de Eerste Kamer.

Het doel is helder: organisaties die een belangrijke rol spelen in de maatschappij moeten hun digitale veiligheid structureel op orde hebben. Denk aan sectoren zoals energie, zorg, transport, financiële dienstverlening en digitale infrastructuur.

NIS2 raakt ook jouw organisatie

NIS2 maakt onderscheid tussen essentiële en belangrijke organisaties. Dit zijn vaak grotere bedrijven of organisaties met een kritieke rol. Toch stopt de impact daar niet. Organisaties die zelf niet direct onder de wet vallen, krijgen er indirect mee te maken via hun klanten. Bedrijven die wél onder NIS2 vallen, zijn namelijk verplicht om ook hun leveranciers te controleren op cyberrisico’s.

In de praktijk betekent dit dat klanten steeds vaker vragen:

• Hoe is jouw cybersecurity geregeld?
• Kun je dat aantonen?
• En hoe borg je continuïteit?

Cybersecurity wordt daarmee een voorwaarde om zaken te blijven doen.

Wat vraagt NIS2 concreet van organisaties?

De wet schrijft geen specifieke tools of oplossingen voor, maar stelt wel duidelijke eisen. Organisaties moeten passende technische, organisatorische en operationele maatregelen nemen om hun digitale veiligheid en continuïteit te waarborgen.

Dat gaat onder andere over:

• het uitvoeren van risicoanalyses;
• het implementeren van beveiligingsmaatregelen;
• het trainen van medewerkers op cyber bewustzijn;
• het beveiligen van de toeleveringsketen;
• het opstellen van incident response plannen.

Daarnaast introduceert NIS2 een meldplicht voor cyberincidenten. Wanneer er sprake is van een ernstig incident dat impact heeft op de dienstverlening, moet dit binnen een zeer korte termijn worden gemeld bij de bevoegde autoriteiten. Dit vraagt niet alleen om technische detectie, maar ook om goed ingerichte processen en duidelijke verantwoordelijkheden binnen de organisatie.

Het voldoen aan deze eisen vraagt dus om een samenhangende en structurele aanpak, waarbij techniek, processen en menselijk gedrag samenkomen.

Bestuur en verantwoordelijkheid

Een van de meest ingrijpende veranderingen binnen NIS2 is dat de verantwoordelijkheid nadrukkelijk bij het bestuur wordt neergelegd. Directies en managementteams moeten niet alleen besluiten nemen over cybersecurity, maar ook kunnen aantonen dat zij inzicht hebben in de risico’s en dat er passende maatregelen zijn genomen.

Hiermee verschuift cybersecurity van een puur technisch vraagstuk naar een strategisch onderwerp. Het wordt onderdeel van goed bestuur en risicomanagement, vergelijkbaar met financiële en juridische verantwoordelijkheid. Dit betekent dat organisaties hun interne governance moeten aanpassen en dat cybersecurity een vaste plek krijgt op de agenda van de directie.

Waarom tijdig starten essentieel is

De Cyberbeveiligingswet zal naar verwachting in 2026 volledig van kracht worden, maar het is niet verstandig om te wachten tot dat moment. In de praktijk zien we dat veel organisaties nu al beginnen met hun voorbereidingen en dat is niet zonder reden.

Het traject richting aantoonbare cybersecurity en certificering kost tijd. Je moet je huidige situatie in kaart brengen, maatregelen implementeren en deze vervolgens laten toetsen. Tegelijkertijd neemt de vraag naar audits en certificering snel toe, terwijl het aantal beschikbare auditors beperkt is.

Dit betekent dat als je te laat start, je het risico loopt dat je niet tijdig gecertificeerd bent. In een situatie waarin klanten, partners en toezichthouders steeds vaker vragen om aantoonbare beveiliging, kan dit directe gevolgen hebben voor contracten, samenwerkingen en continuïteit.

NIS2 is meer dan compliance

Het is begrijpelijk dat NIS2 in eerste instantie wordt gezien als een wettelijke verplichting. Toch doet dat geen recht aan de bredere impact van deze ontwikkeling. Cybersecurity gaat in de kern over het beschermen van je organisatie, je klanten en je dienstverlening.

Een cyberincident kan leiden tot:

• uitval van systemen
• verlies van data
• reputatieschade
• verstoring van dienstverlening

De gevolgen daarvan zijn vaak groter dan een eventuele boete.

NIS2 kan daarom beter worden gezien als een kader dat organisaties helpt om hun digitale weerbaarheid structureel te verbeteren. Het is geen eindpunt, maar een middel om risico’s beheersbaar te maken en toekomstbestendig te opereren.

Wat betekent dit voor jouw organisatie?

De belangrijkste vraag voor organisaties is niet of zij iets moeten doen, maar wanneer zij beginnen met de voorbereiding. Juist nu de wetgeving concreter wordt en de impact zichtbaar begint te worden in de markt, is dit het moment om inzicht te krijgen in de huidige situatie en de benodigde stappen.

Bij EES ondersteunen wij organisaties bij het vertalen van deze wetgeving naar de praktijk. We helpen bij het in kaart brengen van risico’s, het implementeren van maatregelen en het voorbereiden op certificering, zodat je niet alleen voldoet aan de eisen, maar ook daadwerkelijk grip krijgt op je digitale veiligheid.

Dus wil je weten wat NIS2 concreet voor jouw organisatie betekent en hoe je je hierop voorbereidt? Neem contact op en we denken graag met je mee.

Bel direct
Stuur een mail
naar alle topics