Vorige week, op woensdag 15 april 2026, gebeurde iets wat er al een tijdje aan zat te komen: de Tweede Kamer stemde in met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten, de Nederlandse uitwerking van NIS2. Klinkt als Haagse taal. Is het niet. Dit raakt direct jouw bedrijf, jouw risico’s en jouw verantwoordelijkheid.
Lange tijd bleef cyber security voor veel mkb-bedrijven iets op afstand. Belangrijk, dat zeker, maar niet iets dat dagelijks op directieniveau speelde.
Die tijd is voorbij.
Met deze wet zegt de overheid eigenlijk: “Digitale veiligheid is geen keuze meer. Het is een basisvoorwaarde.”
De Tweede Kamer heeft ingestemd met twee wetsvoorstellen:
Samen zorgen die wetten ervoor dat de Europese NIS2-richtlijn in Nederland wordt ingevoerd. Daarmee wordt cyber security voor veel meer organisaties een wettelijke verplichting.
Dat betekent onder meer dat bedrijven aan strengere beveiligingseisen moeten voldoen, incidenten sneller moeten melden en beter moeten kunnen aantonen welke maatregelen ze hebben genomen. Ook komt er meer toezicht, en wordt de rol van bestuurders zwaarder.
Kortom, de vrijblijvendheid is eraf. Dit wordt wet, maar is nog niet direct van kracht. De wet is aangenomen, maar moet nog definitief worden behandeld door de Eerste Kamer. Maar daarover verderop meer.
De eerdere Europese cybersecurityrichtlijn (vaak aangeduid als NIS1) voldeden niet meer. Ze sloten onvoldoende aan op de praktijk van nu, waarin bedrijven digitaal met elkaar verweven zijn. Eén kwetsbare leverancier kan genoeg zijn om bijvoorbeeld een nutsbedrijf in de problemen te brengen.
Dat is precies waarom Europa met NIS2 kwam. De oude aanpak was te smal, te vrijblijvend en te weinig gericht op de keten. Terwijl cybercriminelen juist daar kansen zien.
Denk aan situaties waarin:
Nederland voert die Europese lijn nu door in nationale wetgeving. Niet als formaliteit, maar omdat de digitale dreigingen de afgelopen jaren veel serieuzer zijn geworden.
Dat de wet nu is aangenomen, is geen toeval. Cyberaanvallen zijn niet gericht op bekendheid of omvang, maar op gemak. Criminelen zoeken de makkelijkste ingang. En dat zijn vaak bedrijven waar beveiliging nog niet structureel is geregeld. Daarom komt er nu druk vanuit wetgeving. Niet om ondernemers te pesten, maar om de digitale weerbaarheid in Nederland en de EU als geheel sterker te maken.
De stap van de Tweede Kamer is belangrijk, maar zoals eerder aangegeven nog niet de laatste. Voor de wet daadwerkelijk geldt, moeten nog een paar dingen gebeuren:
De verwachting is dat dit al in de zomer van dit jaar verder vorm krijgt. Time flies dus wachten tot alles definitief is, is geen slim plan. Er is dan geen “wenperiode” ofzo meer waarin je rustig kunt kijken. Dan moet je het geregeld hebben.
Hier wordt het interessant, want ook als je niet direct onder de wet valt, krijg je ermee te maken.
Je valt direct onder NIS2 als:
Wil je weten of je onder NIS2 valt?
Hiervoor hebben we een handig stroomschema gemaakt. Deze vind je op deze pagina >>
Maar je hoeft niet onder de wet te vallen om eraan te moeten voldoen. Waarom? Omdat jouw klanten dat straks van je eisen.
Stel: jullie bedrijf valt zelf niet onder NIS2, maar je levert aan een bedrijf dat wél onder NIS2 valt. Dan krijg je te maken met hun beveiligings- en compliance-eisen. . Ineens gaat het dan niet alleen meer over prijs, service of levertijd, maar ook over vragen als:
Zo heb je dan ook opeens volop te maken met NIS2. Maar dat is niet het enige.
Misschien wel de grootste verandering is dat cyber security niet langer alleen een onderwerp voor IT is. De wet legt nadrukkelijk de verantwoordelijkheid neer bij bestuur en directie.
Dat betekent niet dat je als directie alle techniek moet beheersen, maar wel dat je inzicht hebt in de belangrijkste risico’s, kwetsbaarheden en gemaakte keuzes.. Je moet kunnen sturen, prioriteren en uitleggen waarom je bepaalde maatregelen hebt genomen.
Cyber security wordt daarmee een directiethema.
De meeste bedrijven zien NIS2 vooral als wéér een wet, wéér een verplichting waar je aan moet voldoen.
Maar er zit ook een kans in:
Bedrijven die hun cyber security aantoonbaar op orde hebben, bijvoorbeeld via audits, certificeringen of duidelijke processen, worden interessanter voor klanten en partners. Zeker in sectoren waar risico’s zwaar meewegen. Als jij kunt laten zien dat je jouw processen serieus neemt, wek je vertrouwen.
Dat kan je voordeel opleveren in:
Cyber security wordt dan niet alleen iets wat je moet regelen, maar ook iets waarmee je je kunt onderscheiden.
Wachten is verleidelijk. Maar dat is precies wat je niet moet doen. Kom in actie.
Weet je niet waar je moet beginnen? Wij helpen je uiteraard graag.
Daarvoor hebben wij een unieke maar vooral praktische aanpak. Geen wollig gedoe, maar gebaseerd is op een cyclisch, wederkerend proces. Zo voldoe je niet één keer aan de NIS2 eisen, maar blijvend. Met praktische tooling om te voldoen aan je verplichtingen en om de noodzakelijke maatregelen te implementeren en blijvend te monitoren.
Hoe pakken we dat aan? Dat ontdek je hier: https://wsb-solutions.nl/nis2/#aanpak
Die vraag is eigenlijk al beantwoord.
De echte vraag is of je dit pas serieus neemt als het verplicht is, of nu al kiest voor regie. Want dat is wat hier verandert. Cyber security is niet langer alleen bescherming tegen risico’s. Het wordt steeds meer een voorwaarde om zaken te doen.
De wet is aangenomen. Nu is het aan jou wat je met dat signaal doet.
Kom dinsdag 29 september naar onze Strategische Lunchsessie ‘Auditing en certificering in het tijdperk van NIS2’.
Tijdens deze sessie ontdek je:
✔ Wat NIS2 concreet betekent voor jouw organisatie
✔ Hoe auditing werkt en waarom het meer is dan een vinklijstje
✔ Welke certificeringen (zoals ISO 27001 of het NIS2 Supply Chain) relevant zijn
✔ Hoe tools zoals PDCA4YOU het auditproces vereenvoudigen
✔ Wat wij als Managed Service Provider kunnen doen om je bedrijf te helpen NIS2 compliant te worden