Op 15 april 2026 heeft de Tweede Kamer ingestemd met de Cyberbeveiligingswet [Cbw], de Nederlandse implementatie van de Europese NIS2-richtlijn. Daarmee is de wet in de afrondende fase beland en ligt deze nu bij de Eerste Kamer.

Na meerdere keren uitstel is de situatie fundamenteel veranderd: de wet komt eraan en organisaties moeten zich voorbereiden.

Wat is er veranderd?

Tot voor kort was er nog ruimte voor vertraging, maar die is nu vrijwel verdwenen. Het wetgevingsproces bevindt zich in de laatste fase en de verwachting blijft dat de wet in 2026 in werking treedt.

Voor organisaties betekent dit dat afwachten geen optie meer is, er is werk aan de winkel!

Wat vraagt NIS2 concreet?

De Cyberbeveiligingswet verplicht organisaties om cybersecurity structureel en aantoonbaar op orde te hebben. De belangrijkste verplichtingen zijn:

• Risicobeheer: inzicht in kwetsbaarheden en passende maatregelen.
• Incidentmelding: ernstige incidenten tijdig rapporteren.
• Ketenbeveiliging: grip op de cybersecurity van leveranciers.
• Governance: duidelijke verantwoordelijkheden binnen de organisatie.

Cybersecurity wordt daarmee een bestuurlijke verantwoordelijkheid, niet alleen een IT-aangelegenheid.

Ketenverantwoordelijkheid

NIS2 richt zich niet alleen op vitale sectoren, maar ook op een brede groep ‘belangrijke’ organisaties. Daarnaast werkt de wet door in de keten.

Dat betekent:

• Leveranciers moeten kunnen aantonen dat zij hun cybersecurity op orde hebben.
• Grote organisaties gaan dit actief uitvragen.
• Gebrek aan aantoonbaarheid kan leiden tot verlies van opdrachten.

Ook als je niet direct onder de wet valt, krijg je er dus mee te maken.

De grootste uitdaging: aantoonbaarheid

Een belangrijk verschil met eerdere regelgeving is de nadruk op aantoonbaarheid. Het gaat niet alleen om maatregelen nemen, maar om kunnen bewijzen dat je in control bent.

Denk aan:

• Gedocumenteerd beleid en processen;
• Vastgelegde risicoanalyses;
• Aantoonbare maatregelen en controles;
• Inzicht in leveranciersrisico’s.

Waar staat jouw organisatie?

De Cyberbeveiligingswet komt eraan. En vroeg of laat krijgen alle ondernemingen hiermee te maken. Wil je weten wat jouw plek is in de keten? Doe onze NIS2 Supply Chain check voor direct inzicht.

Val je direct onder de wet?
Dan ben je per 1 juli verplicht om aantoonbaar maatregelen te hebben genomen op het gebied van risicobeheer, incidentmelding en leveranciersbeveiliging.

Lever je aan grotere organisaties?
Ook dan krijg je ermee te maken. NIS2 introduceert expliciet ketenverantwoordelijkheid: organisaties moeten de cybersecurity van hun leveranciers kunnen aantonen en borgen.

Ben je nog niet gestart?
Dan is dit het moment. Organisaties hebben vaak een langer tijd nodig om de processen, het IT beleid en technische maatregelen op orde te brengen.

Hoe Cubics helpt

Bij Cubics helpen we organisaties om NIS2 praktisch en aantoonbaar te implementeren. Geen theoretische trajecten, maar concrete stappen die aansluiten op jouw organisatie.

We ondersteunen onder andere bij:

• het bepalen van je NIS2-scope en verplichtingen
• het uitvoeren van een gap-analyse
• het inrichten van beleid en processen
• het realiseren van aantoonbare compliance

Zodat je niet alleen voldoet aan de wet, maar ook sterker staat richting klanten en partners. Wil je inzicht in jouw situatie en de benodigde stappen?

Neem contact op voor een intake en ontdek waar jouw organisatie staat op het gebied van NIS2-readiness.