De Nederlandse overheid en de Europese Unie voeren nieuwe regels in die de digitale veiligheid en weerbaarheid van organisaties flink gaan aanscherpen. Voor veel bedrijven betekent dit: op tijd voorbereiden, processen aanpassen en zorgen dat je compliance in orde is. Hieronder de belangrijkste wetten, de stand van zaken, wat het betekent en wat organisaties nu al moeten doen.
De belangrijkste wetten in het kort
NIS2 / Cyberbeveiligingswet (Cbw)
De NIS2-richtlijn is de Europese basis voor nieuwe cybersecurityregels in alle lidstaten. Nederland zet deze om in de Cyberbeveiligingswet (Cbw), die waarschijnlijk in het tweede kwartaal van 2026 ingaat (de oorspronkelijke planning, eind 2025, is verschoven). De wet breidt de verplichtingen flink uit: meer sectoren vallen eronder en bestuurders worden nadrukkelijk verantwoordelijk voor digitale veiligheid.
Wet weerbaarheid kritieke entiteiten (Wwke)
Deze wet hangt nauw samen met NIS2 en vertaalt de Europese CER-richtlijn naar Nederlandse wetgeving. De Wwke richt zich op organisaties die cruciaal zijn voor het functioneren van onze samenleving, zoals energiebedrijven, zorginstellingen en communicatienetwerken. Ook deze wet wordt naar verwachting in Q2 2026 van kracht.
Cyber Resilience Act (CRA)
De CRA is een Europese verordening die eisen stelt aan digitale producten – van slimme thermostaten tot software en routers. Fabrikanten, importeurs en distributeurs moeten straks aantonen dat hun producten veilig ontworpen, getest en onderhouden worden. De verplichtingen gelden vanaf december 2027, dus dit is hét moment om processen aan te passen.
DORA (Digital Operational Resilience Act)
Voor financiële instellingen (zoals banken, pensioenfondsen en verzekeraars) geldt al de DORA-verordening. Deze legt nadruk op operationele veerkracht en risicobeheer van IT-systemen en leveranciers. Sinds januari 2025 is DORA officieel van toepassing.
Wat betekent dit concreet voor organisaties?
1. Strenger risicomanagement en governance
Je moet kunnen aantonen dat je risico’s in kaart hebt gebracht, maatregelen hebt genomen en verantwoordelijkheden goed zijn belegd. Bestuurders en directies krijgen hierin een expliciete rol — cybersecurity is niet langer iets van “de IT-afdeling”.
2. Meldplicht bij incidenten
Onder NIS2 geldt een gefaseerde meldplicht: binnen 24 uur een eerste waarschuwing, binnen 72 uur een volledige incidentmelding en binnen een maand een eindrapport. Snel en gestructureerd reageren wordt dus essentieel.
3. Toezicht en mogelijke sancties
De toezichthouders krijgen meer middelen om te handhaven. Boetes kunnen oplopen tot miljoenen, en in sommige gevallen kan ook de directie persoonlijk aansprakelijk worden gesteld.
4. Aanscherping in de keten
Veiligheid stopt niet bij de voordeur. Organisaties moeten ook hun leveranciers toetsen op beveiligingsmaatregelen en verantwoordelijkheden. Wie onderdeel is van de keten – bijvoorbeeld een IT-dienstverlener of softwareleverancier – kan dus indirect onder de wet vallen.
5. Uitbreiding van sectoren
Waar de vorige regels vooral golden voor “kritieke infrastructuren”, vallen straks ook sectoren als onderwijs, maakindustrie, transport en digitale dienstverlening onder het toezicht.
De stand van zaken in Nederland
Nederland had de Europese deadline (17 oktober 2024) om NIS2 in te voeren niet gehaald, maar werkt intussen volop aan de implementatie. Het wetsvoorstel voor de Cyberbeveiligingswet ligt klaar en moet in 2026 van kracht worden.
In de tussentijd zijn er al hulpmiddelen beschikbaar:
- Quickscans en checklists van het Digital Trust Center (DTC)
- Richtlijnen en infosheets van het Nationaal Cyber Security Centrum (NCSC)
- Publieke consultaties en sectorbijeenkomsten vanuit het ministerie van EZK
Met andere woorden: wie zich nu voorbereidt, voorkomt straks stress (en boetes).
Wat kun je nu al doen?
- Voer een gap-analyse uit: hoe verhoudt jouw organisatie zich tot de eisen van NIS2 of DORA?
- Zorg voor beleid en procedures: denk aan incidentrespons, logging, monitoring en herstelplannen.
- Leg verantwoordelijkheden vast: wie doet wat bij een incident, en hoe wordt het bestuur geïnformeerd?
- Check je leveranciers: neem cybersecurity-eisen op in contracten en controleer of partners voldoen.
- Train medewerkers: bewustzijn is vaak de eerste verdedigingslinie.
Wil je weten hoe jouw organisatie er precies voorstaat? Neem dan contact met ons op, we kijken graag mee.
