17-06-2025
Wanneer treedt de NIS2 in werking?
De NIS2-richtlijn heeft als doel de cyberbeveiliging binnen de Europese Unie (EU) te versterken. Deze richtlijn trad op 16 januari 2023 in werking op Europees niveau en stelt strenge eisen op het gebied van cyberbeveiliging, met nadruk op thema’s als ketenverantwoordelijkheid, bedrijfscontinuïteit en incidentmanagement.
Alle lidstaten van de EU hadden tot 17 oktober 2025 de tijd om de NIS2-richtlijn om te zetten in nationale wetgeving. Door de complexiteit van het wetgevingsproces heeft Nederland deze deadline niet gehaald. Maar wat is de huidige status en wat kunnen we verwachten?
Wat is de status van de nationale wetgeving?
In Nederland wordt de NIS2-richtlijn geïmplementeerd in de Cyberbeveiligingswet (Cbw). De wet zal van toepassing zijn op essentiële en belangrijke entiteiten. De verwachting is dat de Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking treedt.
De Cyberbeveiligingswet vervangt na inwerkingtreding de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Tot die tijd blijven de rechten en verplichtingen van de Wbni van kracht.
Wat kan je nu al doen?
Hoewel de NIS2-richtlijn nog niet in nationale wetgeving is omgezet, roept de Rijksoverheid organisaties op om niet te wachten en nu al actie te ondernemen. De cyberrisico’s die jouw netwerk- en informatiesystemen bedreigen, zijn al realiteit. Organisaties die nu in actie komen, beschermen zich niet alleen tegen de huidige cyberdreigingen, maar bereiden zich ook beter voor op de toekomstige wetgeving. Zo ben en blijf je in control!
Hier zijn enkele concrete acties die je nu kunt ondernemen.
Bepaal of jouw organisatie als essentieel of belangrijk wordt beschouwd en dus moet voldoen aan de eisen van de NIS2. Let op: het is ook mogelijk dat je indirect aan de eisen moet voldoen via je toeleveringsketen.
Nog ontdekken of jouw organisatie onder de richtlijn valt? Check het hier!
Zodra de Cyberbeveiligingswet in werking treedt, moeten organisaties zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Het is nu al mogelijk om je op vrijwillige basis te registeren. Doe dit alvast, zodat je op de hoogte wordt gehouden van actuele cyberdreigingen.
De bestuurders van essentiële of belangrijke entiteiten zijn verantwoordelijk voor de digitale weerbaarheid van hun organisatie. De NIS2-richtlijn maakt bestuurder aansprakelijk en legt hen een opleidingsplicht op. Zorg dat jouw bestuur zich bewust is van deze verantwoordelijkheden.
Zorg ervoor dat je een duidelijk overzicht hebt van alle systemen en netwerken die binnen je organisatie worden gebruikt. Dit helpt bij het in kaart brengen van de cyberrisico’s en het implementeren van beveiligingsmaatregelen.
De zorgplicht vraagt organisaties om maatregelen te nemen om hun netwerk- en informatiesystemen te beschermen tegen incidenten.
- Voer een risicoanalyse uit.
- Versterk de beveiliging op het gebied van personeel, toegang en assetbeheer.
- Stel een bedrijfscontinuïteitsplan op
- Implementeer een Incident Response Plan
- Zorg voor goede cyberhygiëne: train medewerkers en verhoog de bewustwording van cyberveiligheid
- Schrijf beleid en procedures voor de beveiliging van netwerk- en informatiesystemen, bijvoorbeeld op het gebied van inkoopbeleid of change management
- Beveilig je toeleveringsketen: breng de cybersecurityrisico’s in de keten in kaart en maak goede afspraken met leveranciers.
- Stel beleid op voor cryptografie en encryptie.
- Implementeer multi-factor authenticatie (MFA) of andere beveiligde authenticatieoplossingen.
- Stel processen op om de effectiviteit van maatregelen te beoordelen.
De meldplicht vereist dat significante incidenten gemeld worden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Hiervoor komt een centraal meldpunt bij de NCSC. Stel alvast een meldproces op voor het melden van cyberincidenten, dat aansluit bij het gefaseerde meldproces uit de NIS2-richtlijn.
Conclusie
Hoewel de Cyberbeveiligingswet in Nederland nog niet is ingevoerd, is het van cruciaal belang dat organisaties zich nu al voorbereiden op de strengere eisen van NIS2. De risico’s van cyberdreigingen zijn al volop aanwezig, en door proactief aan de slag te gaan, verklein je niet alleen de kans op incidenten, maar leg je ook een solide basis voor de naleving van de toekomstige wetgeving.
Wacht dus niet tot de wetgeving definitief in werking treedt, maar begin nu met de voorbereiding. Cyberbeveiliging is geen optie, maar een noodzaak voor de toekomst van jouw organisatie.
Even sparren over de impact van de NIS2-richtlijn op jouw organisatie? Neem vrijblijvend contact met ons op!