Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

De Nederlandse Cyberbeveiligingswet: zo wordt NIS2 in Nederland recht

Vastgesteld 2026-06-16 · ≈ 2 min lezen · Dirk Baaijen

De Cyberbeveiligingswet zet NIS2 om in Nederlands recht: zorgplicht, meldplicht en bestuursaansprakelijkheid. De wet is nog in behandeling en treedt naar verwachting later in werking dan de EU-deadline.

Kort antwoord: De Cyberbeveiligingswet (Cbw) is de Nederlandse omzetting van de Europese NIS2-richtlijn. De wet is nog in behandeling en treedt naar verwachting later in werking dan de EU-deadline van 17 oktober 2024 — eerder is rond 1 juli 2026 genoemd, maar dat is geen vaststaand feit.

Waar de wet vandaan komt

De Cyberbeveiligingswet vloeit voort uit Richtlijn (EU) 2022/2555, beter bekend als NIS2. Die richtlijn verplicht alle EU-lidstaten om strengere eisen voor digitale weerbaarheid in nationale wetgeving op te nemen. De formele omzettingsdeadline was 17 oktober 2024, maar Nederland heeft die niet gehaald.

De Cbw is op het moment van schrijven nog in behandeling. De inwerkingtreding wordt later verwacht; in de berichtgeving is rond 1 juli 2026 genoemd. Behandel dit als verwachting, niet als zekerheid — de definitieve datum volgt uit het wetstraject.

Wat de wet van je vraagt

De Cbw legt organisaties enkele kernverplichtingen op:

  • Zorgplicht: je neemt passende technische en organisatorische maatregelen om je netwerk- en informatiesystemen te beschermen, op basis van een risicobeoordeling.
  • Meldplicht: een significant incident meld je in fasen. Een eerste melding doe je binnen 24 uur, gevolgd door een uitgebreidere melding binnen 72 uur.
  • Registratieplicht: organisaties die onder de wet vallen, registreren zich bij de bevoegde instantie.
  • Bestuursaansprakelijkheid: het bestuur is verantwoordelijk voor naleving en kan daarop worden aangesproken.

Het toezicht ligt bij sectorale toezichthouders en bij de Rijksinspectie Digitale Infrastructuur (RDI).

Wie valt eronder

NIS2 onderscheidt essentiële en belangrijke entiteiten. Het onderscheid bepaalt vooral de zwaarte van het toezicht, niet de inhoud van de zorgplicht. Transport is aangewezen als essentiële sector — dat omvat onder meer weg-, spoor-, lucht- en watervervoer. Veel logistieke dienstverleners vallen daardoor binnen het bereik, afhankelijk van omvang en activiteiten.

Wat je nu al kunt doen

Wacht niet op de inwerkingtreding. Breng in kaart of je organisatie als essentieel of belangrijk kwalificeert, voer een risicobeoordeling uit en richt een incidentmeldproces in dat de termijnen van 24 en 72 uur aankan. Zorg dat het bestuur betrokken is, want de aansprakelijkheid ligt daar.

Lees ook het overzicht Transport & Logistiek. Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
    Richtlijn (EU) 2022/2555 (NIS2): de Europese basis.
  2. https://www.digitaltrustcenter.nl/cyberbeveiligingswet
    Digital Trust Center — de Nederlandse Cyberbeveiligingswet (NIS2-omzetting).

Deel op LinkedIn

Lees ook

U

Dekt mijn ISO 27001-certificering de zorgplicht onder NIS2?

ISO 27001 dekt een groot deel van de NIS2-risicobeheermaatregelen, maar is geen automatische compliance. Meldplicht, bestuursverantwoordelijkheid, ketenrisico en registratie moet je apart afdekken.

U

NIS2: wat houdt de meldplicht (24/72 uur) precies in?

Bij een significant incident gelden onder NIS2 strakke termijnen: een vroege waarschuwing binnen 24 uur, een formele melding binnen 72 uur en een eindrapport binnen een maand — aan de nationale autoriteit/CSIRT. Wat telt als significant, en hoe je je erop inricht.

U

NIS2-zorgplicht: de beveiligingsmaatregelen

Artikel 21 van de NIS2-richtlijn verplicht essentiële en belangrijke entiteiten tot tien concrete, risicogebaseerde beveiligingsmaatregelen waarover het bestuur eindverantwoordelijkheid draagt.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

Maandelijkse Transport & Logistiek-signalering

Eén keer per maand: de EU-ontwikkelingen die transport en logistiek raken, kort geduid — met bron. Geen spam, uitschrijven kan altijd.

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.