NIS2 in 2026: ben je er echt klaar voor?

Na een uitstel van enkele maanden treedt volgend jaar de Cyberbeveiligingswet – de Nederlandse invulling van de Europese NIS2-richtlijn – dan toch echt in werking. Hoewel de officiële datum nog niet is vastgesteld, is de verwachting dat deze in het tweede kwartaal van 2026 valt.

Veel advies- en IT-dienstverleners en verzekeraars hebben hun klanten al geadviseerd hierover. Toch blijkt uit onderzoek van Grant Thornton dat in het derde kwartaal nog slechts 35% van de mkb-respondenten bekend is met de NIS2-richtlijn en werkt aan compliance. Dat is weliswaar een groei ten opzichte van het tweede kwartaal toen dat percentage op 24% lag, maar de voorbereiding is nog onvoldoende.

De Cyberbeveiligingswet kent drie kernverplichtingen:

• Zorgplicht: De organisatie moet een risicobeoordeling uitvoeren en daarop passende operationele en organisatorische maatregelen nemen. Denk aan een goed georganiseerd toegangsbeheer, back-ups, incidentresponsplanning en een gedegen patchmanagement.
• Meldplicht: Significante cyberincidenten moeten verplicht binnen korte termijn (ca. 24 uur) gemeld worden aan CSIRT (Computer Security Incident Response Team) en de toezichthouders via de website van het Nationaal Cyber Security Centrum (NCSC). Een organisatie moet processen hebben ingericht die zo’n snelle melding mogelijk maken.
• Registratieplicht: Wanneer een organisatie valt in de categorie ‘Essentiële of belangrijke entiteiten’ is een registratie nodig in het nationale entiteitenregister bij NCSC/RDI.

Een organisatie heeft verder een aantal verantwoordelijkheden:

• Bestuurlijke verantwoordelijkheid: bestuur en hoogste leiding zijn expliciet verantwoordelijk voor NIS2‑naleving, moeten maatregelen goedkeuren en toezicht houden op uitvoering.
• Aantoonbaarheid: organisaties moeten kunnen laten zien dat hun zorgplicht structureel wordt ingevuld door middel van een Information Security Management System (ISMS), procesdocumentatie en periodieke evaluaties.
• Opleiding en awareness: bestuurders en sleutelpersonen in de organisatie moeten aantoonbaar getraind zijn in besluitvorming bij incidenten en bewust zijn van de meldplichtcriteria.

Geen enkele organisatie werkt in isolement. De Cyberbeveiligingswet verwacht daarom dat organisaties de ketenafhankelijkheid in kaart brengen en contracten aanpassen aan de beveiligingseisen en de meldingsplicht voor incidenten.

Het is verder belangrijk dat organisaties een passende detectie van cyberincidenten hebben ingeregeld door het loggen van activiteiten op het netwerk, vulnerability‑scans en Security Information and Event Management (SIEM).

Financiële risico's bij non-compliance zijn groot

Hoewel het bewustzijn rond een goede voorbereiding op een cybersecurity-incident dus groeit, blijkt uit het onderzoek van Grant Thornton dat maatregelen veelal uitblijven. Dat levert flinke risico’s op. Niet alleen kan een cyberincident directe schade opleveren door uitval van systemen of bijvoorbeeld afpersing via een ransomware-aanval. Ook kan ernstige reputatieschade optreden en zal de toezichthouder hoge boetes opleggen wanneer niet is voldaan aan de geldende wetgeving.