17 juli 2026

NIS2 is geen aankondiging meer: dit verandert nu écht voor bedrijven

De afgelopen twee jaar is ontzettend veel geschreven over NIS2. Ook wij hebben hier regelmatig aandacht aan besteed, net als veel andere IT-partijen, consultants en securityspecialisten. Voor veel organisaties voelde NIS2 vooral als iets dat "eraan zat te komen".

Maar die fase is voorbij. Op 7 juli 2026 heeft de Eerste Kamer ingestemd met de Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn. Op 15 augustus 2026 treedt de wet officieel in werking. Daarmee zijn de verplichtingen niet langer toekomstmuziek, maar concrete wetgeving.

Wat verandert er nu echt?

Hoewel veel artikelen vooral focussen op de wet zelf, vinden wij een andere vraag interessanter: wat verandert er morgen in de praktijk voor bedrijven?

Het korte antwoord: cybersecurity verschuift van een IT-onderwerp naar een bestuursonderwerp én een commerciële randvoorwaarde.

1. Bestuurders worden persoonlijk verantwoordelijk

Een van de grootste veranderingen is dat cyberveiligheid niet meer uitsluitend bij IT of een externe leverancier kan worden neergelegd.

Bestuurders krijgen expliciet verantwoordelijkheid voor cyberrisicobeheersing. Zij moeten inzicht hebben in risico's, maatregelen en de effectiviteit daarvan. Cybersecurity wordt daarmee onderdeel van governance en risicomanagement.

Voor veel organisaties betekent dit dat cyberveiligheid een vaste plek krijgt op directie- en managementagenda's.

2. "Wij vallen niet onder NIS2" wordt minder relevant

Een veelgehoorde reactie is: "Leuk, maar wij vallen niet onder de wet."

Dat kan waar zijn. Toch is dat steeds minder de juiste vraag.

De wet geldt rechtstreeks voor zo'n 8.000 organisaties in Nederland. Maar de invloed reikt veel verder doordat deze organisaties hun leveranciers en partners moeten meenemen in hun risicobeheersing.

Met andere woorden:

  • Klanten gaan vragen stellen over jouw beveiliging.
  • Leveranciers moeten aantonen welke maatregelen zij nemen.
  • Securityvragenlijsten worden normaler.
  • Certificeringen en audits krijgen meer gewicht.

De kans is groot dat je niet door de overheid wordt benaderd, maar door je klant.

3. Aantoonbaarheid wordt belangrijker dan beleid

Veel organisaties hebben inmiddels wel een securitybeleid, een back-upregeling of een incidentprocedure.

De echte verandering zit in de vraag: kun je bewijzen dat het werkt?

Toezichthouders kijken niet alleen naar documenten, maar ook naar uitvoering en effectiviteit. Ook klanten zullen steeds vaker bewijs vragen in plaats van beloften.

Denk aan:

  • risicobeoordelingen
  • leveranciersbeoordelingen
  • awareness-trainingen
  • logging en monitoring
  • hersteltests van back-ups
  • certificeringen zoals ISO 27001

4. Leveranciersketens worden onderdeel van cybersecurity

Misschien wel de meest onderschatte verandering.

NIS2 kijkt nadrukkelijk naar ketenrisico's. Een organisatie is niet alleen verantwoordelijk voor haar eigen beveiliging, maar moet ook weten welke risico's leveranciers veroorzaken.

Dat betekent dat steeds meer organisaties gaan vragen:

  • Waar staan onze gegevens?
  • Welke cloudprovider wordt gebruikt?
  • Hoe is toegangsbeheer geregeld?
  • Welke certificeringen zijn aanwezig?
  • Wat gebeurt er bij een incident?

Voor veel mkb-bedrijven zal dit de meest zichtbare impact van NIS2 worden.

Wat moet je nu doen?

Voor organisaties die rechtstreeks onder de Cyberbeveiligingswet vallen, geldt dat er vanaf 15 augustus verplichtingen zijn rondom registratie, zorgplicht, meldplicht en bestuurlijke verantwoordelijkheid.

Voor alle andere organisaties is het verstandig om zich af te vragen:

  • Kunnen wij onze beveiligingsmaatregelen aantonen?
  • Hebben we inzicht in onze leveranciersrisico's?
  • Zou een belangrijke klant tevreden zijn met ons huidige securityniveau?
  • Zijn directie en management voldoende betrokken?

Onze conclusie

De invoering van de Cyberbeveiligingswet is niet het begin van NIS2, maar eerder het einde van de discussie óf het gaat gebeuren.

De echte verandering is dat cybersecurity steeds meer een voorwaarde wordt om zaken te doen. Niet alleen voor vitale organisaties, maar voor vrijwel iedere onderneming die onderdeel is van een digitale keten.

De vraag is daarom niet langer "val ik onder NIS2?", maar:

"Kan ik aantonen dat mijn organisatie digitaal weerbaar genoeg is voor klanten, leveranciers en toezichthouders?"

Dat is uiteindelijk de verandering die de meeste bedrijven gaan merken.

Arno Mouwen
Founding partner / RE CISA IT-auditor

Benieuwd wat wij voor u kunnen betekenen? Neem dan gerust contact met mij op.