Ondernemerszaken: Ben jij al voorbereid op de NIS2-richtlijn?

Vanaf 2026 krijgen vrijwel alle bedrijven in de maakindustrie te maken met strengere regels voor digitale veiligheid. Ook als je een relatief kleiner bedrijf bent, kun je merken dat klanten en grotere partijen eisen gaan stellen aan jouw cyberveiligheid. De NIS2-richtlijn, die in Nederland wordt uitgewerkt als de Cyber­beveiligingswet (Cbw), raakt dus vrijwel de hele keten.

De NIS2-richtlijn is Europese wetgeving die de digitale weerbaarheid in alle lidstaten moet vergroten. Nederland voert deze richtlijn in via de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 ingaat. De wet verplicht bedrijven om hun digitale beveiliging op orde te hebben, risico’s te beperken en ernstige incidenten te melden.

De NIS2-richtlijn is Europese wetgeving die de digitale weerbaarheid in alle lidstaten moet vergroten. Nederland voert deze richtlijn in via de Cyberbeveiligingswet, die naar verwachting in het tweede kwartaal van 2026 ingaat. De wet verplicht bedrijven om hun digitale beveiliging op orde te hebben, risico’s te beperken en ernstige incidenten te melden.

Wie valt eronder?

De wet geldt rechtstreeks voor bedrijven met meer dan vijftig medewerkers of een omzet boven tien miljoen euro. Daarnaast moet het bedrijf actief zijn in een (zeer) kritieke sector. Maar ook kleinere bedrijven krijgen ermee te maken. Veel opdrachtgevers zullen van hun toeleveranciers vragen om aan te tonen dat hun systemen en processen veilig zijn. Zelfs als je zelf niet onder de wet valt, kan een klant vragen om vragenlijsten in te vullen of deel te nemen aan cybersecurity-audits. Met andere woorden: in de maakindustrie komt bijna geen onderneming hier onderuit. Lever je onderdelen, machines of diensten aan grotere spelers in een van de kritieke sectoren? Dan moet je kunnen laten zien dat jouw bedrijf de cyberveiligheid op orde heeft.

Wat kun je doen?

Als kleiner bedrijf dat niet rechtstreeks onder de Cbw valt, kun je alvast starten met de NIS2 Quickscan. Deze scan geeft inzicht in de eerste stappen die op het gebied van cyberveiligheid geregeld moeten worden. Daarnaast laat de uitkomst direct zien in hoeverre deze stappen al zijn doorgevoerd.

Wat moet je doen?

In het onderstaande deel wordt besproken welke punten geregeld moeten zijn als je met jouw organisatie onder de Cbw valt. Eerst wordt behandeld wat in de Cbw is vastgelegd over hoe bestuurders ervoor moeten zorgen dat zij de benodigde kennis en structuren hebben om goed beleid op te stellen. Dit valt onder het kopje Governance. Daarna volgt de praktische uitvoering van de Cbw:

1. Aanmelden bij het NCSC
2. De zorgplicht (9 stappen intern)
3. De zorgplicht extern
4. De meldplicht bij het NCSC bij cybersecurity-incidenten

Governance

Voordat gestart kan worden met de uitvoering van de verplichtingen uit de NIS2-richtlijn en de Cyberbeveiligingswet, moeten binnen de organisatie drie zaken goed zijn ingericht:

• Aansprakelijkheid en verantwoordelijkheid
• Kennis en vaardigheden op het gebied van cybersecurity
• Governance

Aansprakelijkheid

Bestuurders zijn hoofdelijk aansprakelijk voor het nemen van passende maatregelen om de veiligheid van netwerk- en informatiesystemen te waarborgen. Zij moeten ervoor zorgen dat risico’s worden beperkt en dat incidenten, wanneer die zich voordoen, zo min mogelijk impact hebben. De verantwoordelijkheid ligt nadrukkelijk bij het bestuur, niet alleen bij IT of beveiliging.

Kennis en vaardigheden

Onderdeel van deze aansprakelijkheid is dat bestuurders voldoende kennis moeten hebben om beveiligingsrisico’s te begrijpen en maatregelen te kunnen beoordelen. Als deze kennis ontbreekt, moet training worden gevolgd. De wet verlangt dat bestuurders kunnen aantonen dat zij weten welke risico’s er spelen en welke maatregelen binnen de organisatie zijn getroffen.

Governance

Goede governance betekent dat verantwoordelijkheden, taken en beslissingsbevoegdheden rond cybersecurity duidelijk zijn vastgelegd. Er moet helder zijn wie beleid opstelt, wie uitvoert en wie controleert.

Zorgplicht intern

De Cyberbeveiligingswet legt een zorgplicht op aan alle bedrijven die onder de wet vallen. Dat betekent dat organisaties passende technische en organisatorische maatregelen moeten nemen om risico’s te beperken. Hieronder volgen de onderdelen die onder deze zorgplicht vallen.

1. Beleid, risicoanalyse en beveiliging van informatiesystemen
   Elke organisatie moet beschikken over een vastgesteld beleid voor informatiebeveiliging en risicobeheersing. Dit vormt de basis voor een gestructureerde en aantoonbare aanpak van cybersecurity.
2. Beveiliging van personeel, toegang en activa
   Zorg voor duidelijke beveiligingsmaatregelen rond personeel, toegangsrechten en bedrijfsmiddelen. Richt toegangsbeheer zorgvuldig in en beperk rechten tot wat medewerkers echt nodig hebben.
3. Bedrijfscontinuïteit
   Stel een plan op voor bedrijfscontinuïteit. Hierin staat hoe het bedrijf blijft functioneren bij IT-uitval, inclusief noodprocedures, back-ups, alternatieve werkmethoden en crisiscommunicatie.
4. Incidentenbehandeling
   Leg vast wat er moet gebeuren bij een cyberincident. Definieer stappen, verantwoordelijkheden en contactpersonen, zodat snel en effectief kan worden gehandeld. Medewerkers moeten weten wie ze moeten informeren en welke externe partijen betrokken worden.
5. Cyberhygiëne en opleiding
   Train medewerkers regelmatig in veilig digitaal gedrag. Denk aan phishingherkenning, wachtwoordbeleid en veilig omgaan met gegevens. Structurele training verkleint de kans op menselijke fouten.
6. Beveiliging van netwerk- en informatiesystemen
   Ontwikkel en onderhoud systemen op een veilige manier. Beheer kwetsbaarheden actief, voer updates tijdig door en leg vast hoe beveiligingslekken worden gemeld en opgelost.
7. Cryptografie en encryptie
   Gebruik encryptie en andere beveiligingsmethoden om vertrouwelijke informatie te beschermen, zowel bij opslag als bij overdracht. Zorg dat beleid en procedures hierover duidelijk zijn vastgelegd.
8. Authenticatie en communicatie
   Gebruik waar mogelijk multifactor-authenticatie en zorg voor beveiligde communicatie binnen de organisatie, zoals versleutelde e-mail en beveiligde samenwerkingsplatformen.
9. Evaluatie van maatregelen
   Controleer regelmatig of genomen maatregelen effectief zijn. Voer interne audits of securitytests uit en leg de resultaten vast. Gebruik deze evaluaties om verbeteringen door te voeren.

Zorgplicht extern – beveiliging van de toeleveringsketen

Cyberveiligheid stopt niet bij de eigen organisatie. Beoordeel hoe veilig leveranciers en partners werken. Leg afspraken over beveiliging, audits en incidentmeldingen contractueel vast.

Meldingsplicht

Bij significante cyberincidenten geldt een wettelijke meldplicht:

• Binnen 24 uur moet een eerste melding worden gedaan.
• Binnen 72 uur volgt aanvullende informatie over de aard en impact van het incident.
• Binnen één maand moet een eindrapport worden aangeleverd met de analyse en genomen maatregelen.
• Niet-naleving van deze verplichting kan leiden tot zware sancties, waaronder boetes tot tien miljoen euro of twee procent van de wereldwijde jaaromzet.

Conclusie

De NIS2 is geen verre Brusselse regel, maar iets wat ieder maakbedrijf raakt via de Cbw. Wie nu begint, voorkomt straks haast en stress, en laat zien dat hij een betrouwbare partner is in de keten.