Het is definitief: op 7 juli 2026 stemde de Eerste Kamer in met de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn. De wet treedt op 15 augustus 2026 in werking. Er komt geen overgangsperiode, dus wie eronder valt moet er vanaf dag één aan voldoen.
Direct raakt de wet zo’n 8.000 Nederlandse organisaties. Maar via ketenverplichtingen krijgen tienduizenden MKB-leveranciers dezelfde eisen doorgeschoven van hun grote klanten. In dit artikel leggen we uit wat de wet inhoudt, hoe je checkt of jij eronder valt en wat je nu al kunt regelen.
Wat is de Cyberbeveiligingswet (NIS2)?
De Cyberbeveiligingswet verplicht organisaties in 18 sectoren, waaronder energie, zorg, transport, digitale infrastructuur en overheid, om hun cyberbeveiliging aantoonbaar op orde te hebben. De wet kent drie pijlers:
- Zorgplicht: passende maatregelen nemen, zoals risicobeheer, back-upbeheer, incidentafhandeling en beveiliging van de toeleveringsketen.
- Meldplicht: ernstige incidenten binnen 24 uur (vroegtijdige waarschuwing) en binnen 72 uur (volledige incidentmelding) melden bij het CSIRT en de toezichthouder.
- Registratieplicht: registreren via mijn.ncsc.nl.
De wet maakt bestuurders bovendien persoonlijk verantwoordelijk. Boetes kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.
Val jij eronder? Direct, of via de keten
Grote en middelgrote organisaties in de 18 aangewezen sectoren vallen direct onder de wet als “essentiële” of “belangrijke” entiteit. Veel MKB-bedrijven vallen daar formeel buiten, maar dat betekent niet dat je klaar bent. De wet verplicht organisaties namelijk óók om hun toeleveringsketen te beveiligen. In de praktijk betekent dit dat je opdrachtgevers je gaan vragen om aantoonbare beveiligingsmaatregelen, een continuïteitsplan en duidelijke afspraken over incidenten.
Lever je diensten aan een ziekenhuis, energiebedrijf, logistiek dienstverlener of gemeente? Reken er dan op dat NIS2-eisen binnenkort in je contracten en leveranciersbeoordelingen opduiken.
De belangrijkste verplichtingen op een rij
Artikel 21 van de NIS2-richtlijn noemt expliciet de maatregelen die je op orde moet hebben. Vertaald naar de praktijk van een MKB-bedrijf:
- Back-upbeheer en herstel: dagelijkse back-ups, bewaartermijnen en een geteste herstelprocedure per kritiek systeem.
- Bedrijfscontinuïteit en crisisbeheer: een disaster recovery plan met hersteltijden (RTO) en maximaal acceptabel dataverlies (RPO).
- Incidentafhandeling: weten wie je belt, in welke volgorde, en hoe je de meldtermijnen van 24 en 72 uur haalt.
- Basishygiëne en training: multifactorauthenticatie, wachtwoordbeleid, patchmanagement en security awareness bij medewerkers.
- Ketenbeveiliging: weten van welke leveranciers (hosting, SaaS, IT-partners) je afhankelijk bent en welke afspraken daar liggen.
Zo begin je vandaag: stappenplan
Zes weken tot de wet ingaat is kort, maar genoeg om de basis te leggen:
- Check je positie. Bepaal of je direct onder de wet valt (zie de zelfevaluatie van de overheid) of via de keten geraakt wordt.
- Breng kritieke systemen in kaart. Welke systemen mogen hoe lang plat, en hoeveel data mag je verliezen?
- Stel je disaster recovery plan op. Dit is de kern van de continuïteitsverplichting én het document waar klanten en toezichthouders om vragen.
- Regel de meldplicht-workflow. Wie signaleert, wie beslist, wie meldt binnen 24 uur?
- Toets je leveranciers. Vraag je hostingpartij en SaaS-leveranciers hoe zij back-ups, uptime en incidentcommunicatie geregeld hebben.
Gratis hulpmiddel: de NIS2 Disaster Recovery Plan Generator
Om je op weg te helpen hebben we een gratis tool gebouwd: de NIS2 Disaster Recovery Plan Generator. In 7 stappen doorloop je je organisatiegegevens, kritieke systemen (RTO/RPO), back-upstrategie, meldplicht-workflow, communicatieplan en ketenafhankelijkheden. Aan het einde download je direct een compleet document dat aansluit op artikel 21 van de NIS2-richtlijn.
Je hebt er geen account voor nodig, het kost niets en je antwoorden worden pas opgeslagen op het moment dat je het document genereert. Ook als je niet direct onder de wet valt, is het gegenereerde plan precies wat opdrachtgevers bedoelen als ze om “aantoonbare continuïteit” vragen.
Wat je hoster voor je afdekt (en wat niet)
Goed nieuws: een deel van de technische verplichtingen ligt bij een managed hostingpartij al standaard op orde. Bij PC Patrol betekent dat dagelijkse back-ups tot 60 dagen, Imunify360-malwarescanning, DDoS-bescherming, patchbeheer en servers in een EU-datacenter. Voor wie meer controle wil, geldt hetzelfde fundament op onze Cloud VPS.
Maar let op: hosting dekt niet alles. De meldplicht-workflow, het trainen van medewerkers en het vastleggen van verantwoordelijkheden blijven jouw taak. Daarvoor bieden we Security Awareness training en wachtwoordbeheer met Keeper Security.
Twijfel je of jouw huidige inrichting NIS2-proof is? Bel of app ons gerust, we denken gratis met je mee. Of begin vandaag nog met de Disaster Recovery Plan Generator en zet de eerste stap richting aantoonbare continuïteit.