Tweede Kamer stemt in met Cyberbeveiligingswet die NIS2-maatregelen verplicht

De Nederlandse Tweede Kamer heeft ingestemd met het wetsvoorstel voor de Cyberbeveiligingswet. Daarmee wordt de Europese cybersecurityrichtlijn NIS2 verankerd in de nationale wet.

De Tweede Kamer heeft het wetsvoorstel voor de Cyberbeveiligingswet aangenomen. Met deze wet moeten duizenden Nederlandse bedrijven en organisaties voldoen aan meer verplichtingen op het gebied van cybersecurity. Ze moeten onder meer voldoen aan de zorgplicht, meldplicht en registratieplicht.

De deadline voor de implementatie van de NIS2-richtlijn in nationale wetgeving was eigenlijk al in oktober 2024 verlopen, maar alleen België en Kroatië wisten de deadline te behalen. Onder meer Nederland heeft herhaaldelijk uitstel gekregen om de NIS2-verplichtingen om te zetten naar nationale wetgeving. Volgens de huidige en voorgaande kabinetten is de complexiteit van deze wetsimplementatie onderschat.

Het wetsvoorstel moet nog door de Eerste Kamer worden goedgekeurd. De verwachting is dat de Nederlandse Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking treedt. Pas daarna moeten Nederlandse organisaties voldoen aan de strengere maatregelen voor de beveiliging van netwerk- en informatiesystemen. Naast de NIS2-richtlijn heeft de Tweede Kamer ook een wet gebaseerd op de CER-richtlijn, voor het beschermen van kritieke infrastructuur, aangenomen.

Cyberbeveiligingswet
Bron: Rijksoverheid

Door Kevin Krikhaar

Redacteur

Feedback • 15-04-2026 17:15
72 • submitter: SunnieNL

15-04-2026 • 17:15

72

Submitter: SunnieNL

Lees meer

Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware
Minister ziet geen heil in Nederlands verbod op losgeldbetaling bij ransomware Nieuws van 9 april 2026
België en Kroatië halen als enige de NIS2-deadline, Nederland loopt achter
België en Kroatië halen als enige de NIS2-deadline, Nederland loopt achter Nieuws van 17 oktober 2024
Nederlandse NIS2-wet treedt pas in tweede of derde kwartaal 2025 in werking
Nederlandse NIS2-wet treedt pas in tweede of derde kwartaal 2025 in werking Nieuws van 30 mei 2024
Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet
Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet Nieuws van 31 januari 2024
Meer producten en artikelen
Politiek en recht NIS2 Tweede kamer

Reacties (72)

-Moderatie-faq
72
69
28
5
0
40
Wijzig sortering

Sorteer op:

Weergave:
NiGeLaToR 15 april 2026 17:23
Ook voor bedrijven in de keten van een CBW plichtig bedrijf verplicht. En de NIS ‘examens’ die worden aangeboden nog even niet al te serieus nemen.

Betere bron: https://www.ncsc.nl/cyberbeveiligingswet-nis2

Wordt weer een enorme klus voor velen, met ook weer lekker voor registratie en administratie. Ook zinvolle praktische zaken, maar tis ook wel weer een papieren tijger geworden.

Edit; dank voor de onzinnige aanvullingen, maar inderdaad: het is de CBW als NIS2 implementatie. Bravo. :|

[Reactie gewijzigd door NiGeLaToR op 15 april 2026 20:47]

Reageer
SunnieNL @NiGeLaToR15 april 2026 20:22
Nee, voor de supply chain is het niet direct verplicht. Wat wel verplicht is, is dat de bedrijven die wel onder de cbw als kritiek of essentieel worden gezien, een risico analyse moeten maken van hun supply chain. Gebaseerd op het risico zullen zij dan afspraken moeten maken met hun supply chain welke security maatregelen zij van dat bedrijf in de supply chain verwachten.

Stel jij hebt een leverancier die essentieel is voor je dienstverlening. Dan staat die hoger op de lijst van risico dan de glazenwasser of het restaurant. Die laatste twee stel je minder eisen aan. Immers, zonder restaurant en met smerige ramen gaat je bedrijf nog wel door. Als echter essentiële goederen of diensten uitvallen waardoor jij ook niet meer je werk kan doen, dan heb je wel een probleem.

Cbw gaat over risico inschatting, continuïteit, beperkende technische maatregelen (en aantonen dat ze werken), basis cyber hygiene en bewustwording dat elke medewerker, incl bestuur, helpt incidenten te voorkomen.

[Reactie gewijzigd door SunnieNL op 15 april 2026 20:26]

Reageer
Faeron @NiGeLaToR15 april 2026 18:10
Geen enkel bedrijf is NIS2-plichting. De NIS2 is slechts een 'opdracht' aan overheden van de lidstaten om nationale wetgeving te maken die in lijn is met de NIS2. In Nederland is dat dus de Cbw.

En nee, als jouw organisatie samenwerkt in een keten met een organisatie die onder de Cbw valt, dan valt daarmee niet automatisch ook jouw organisatie onder de Cbw. Zo werkt dat dus niet.

En nee, het is niet weer een enorme klus, want er staat niet echt iets nieuws in qua informatiebeveiliging. Als je dat al fatsoenlijk deed, dan deed je dat op een ISO 27001-actige wijze en dat is voldoende voor de zorgplicht. De registratieplicht is gewoon een keer doen en de meldplicht, ach, als je het op orde hebt, dan hoef je ook nooit iets te melden.

Je maakt dus een hoop stampij om niks.

[Reactie gewijzigd door Faeron op 15 april 2026 18:25]

Reageer
NiGeLaToR @Faeron15 april 2026 20:45
Even opletten voor je je baas wijsmaakt dat z’n ISO certificaatje genoeg is:

Paar dingen uit de wet CBW die niet in de vrijwillige standaard ISO27001 zitten:
  • toezicht door overheid en inspecties
  • boetes en sancties
  • persoonlijke aansprakelijkheid management
  • registratie als essentiële of belangrijke entiteit
  • verplichte rapportage aan overheid en CSIRT
  • juridisch afdwingbare eisen aan leveranciers
  • samenwerking met nationale cyberinstanties
  • sectorspecifieke verplichtingen
  • meldplicht incidenten met harde deadlines

    Tl:Dr;
ISO27001 is vrijwillig raamwerk

CBW NIS2 is wet met verplichtingen en straf bij falen

Heb meegeschreven aan de wet en ben bekend met ISO27001 trajectjes. Met je stampij 8)7
Reageer
JustRob @NiGeLaToR15 april 2026 23:49
Allereerst is er:
ISO27001 Clause 4.2 — Understanding the needs and expectations of interested. It requires the organisation to:
  • Identify which interested parties are relevant to the ISMS
  • Determine their relevant requirements (legal, regulatory, contractual, or otherwise)
  • Decide which of those requirements will be addressed through the ISMS
Hier zullen de eisen van de Cbw dus al naar voren moeten komen als onderdeel van het ISMS, waarmee ze dus per definitie onderdeel zijn van het ISMS als een organisatie aan de Cbw moet voldoen.

En dan is er nog:
ISO27002 (Annex A) - 5.31 — Legal, statutory, regulatory and contractual requirements. It requires identifying, documenting, and keeping up to date all relevant legal, statutory, regulatory, and contractual requirements, and defining how the organisation complies with them.

Goed, technisch gezien hóef je de Annex A niet als control framework te gebruiken, het is een richtlijn (iets wat veel auditors helaas ook niet weten), maar die guideline geeft dus al aan dat je ook vanuit je maatregelen in kaart moet brengen waar je vanuti wet- en regelgeving aan moet voldoen.

Daarmee kun je beargumenteren dat de maatregelen vanuit de Cbw, per definitei afgedekt worden vanuit de ISO27001 (net zoals vereisten vanuit GDPR of andere informatiebeveiliging gerelateerde wet- en regelgeving). En een organisatie die ISO27001 is, zou dus, mits de norm correct gevolgd wordt, ook Cbw compliant moeten zijn.

Maar, indien een organisatie ISO27001 gecertificeerd is én die maatregelen dus niet meegenomen heeft, dan zijn ze én niet compliant aan de Cbw én zouden ze een tekortkoming in de ISO27001 audit moeten krijgen op clausule 4.2.

Dit alles wil overigens niet zeggen dat je als Cbw-organisatie een ISO27001 móet hebben, maar het is wel een degelijk framework, dat voor veel organisaties een prima basis is als startpunt. Zeker voor de NIS2-categorieën die onder de 'belangrijke' entiteiten vallen.

En het probleem zit niet in de norm, het probleem zit in de naleving en handhaving erop. En dat gaat bij de Cbw niet anders zijn btw.. Want als hetzelfde handhavings niveau gehaald wordt dat de RDI de afgelopen jaren heeft gehanteerd bij de Wbni, dan zal het met die incidenten nog wel een paar jaar ellende blijven.

[Reactie gewijzigd door JustRob op 15 april 2026 23:54]

Reageer
Faeron @NiGeLaToR16 april 2026 11:12
Wat goedkoop. Eerst onzin schrijven, dan op basis van het kritiek daarop je tekst aanpassen, om vervolgens te gaan zeuren bij degene die kritiek gaven.

Kijk nog eens goed naar je opsomming. Daar staat niets in wat zorgplicht betreft dat al niet via 27001 geregeld kon worden. Dus nogmaals, de Cbw brengt niks nieuws wat betreft informatiebeveiliging (dus de zorgplicht). En verplichte rapportages aan overheid en CSIRT? Wat een onzin. Los van een meldplicht bij incidenten hoeft niemand rapportages op te leveren aan hen.

En zo vrijwillig is die 27001 niet. Voor de overheid verplicht via de 'pas toe of leg-uit lijst'. Dat de overheid het niet toepast en ook niet uitlegt, dat is wat anders. En bij de zorg is de NEN 7510 verplicht. Daar verandert de Cbw dus niks aan de aanpak voor informatiebeveiliging.

En als je daadwerkelijk hebt meegeschreven aan die wet, waarom noem je het dan een papieren tijger? En je eerste bewering in je eerste reactie klopt nog steeds niet. Cbw-plichtigheid is niet besmettelijk binnen een keten. Ik geloof er dus geen reet van dat je hebt meegeschreven. In ieder geval niet in significante hoeveelheid.

[Reactie gewijzigd door Faeron op 16 april 2026 11:36]

Reageer
svennd @Faeron16 april 2026 09:45
8)7 ISO27001 is "voldoende" en is "fatsoenlijk". Beide zijn inaccuraat als je er al mee gewerkt hebt.

Hopelijk kiest de Nederlandse authoriteit ook voor CyFun framework als tegenhanger van ISO.
Reageer
JustRob @NiGeLaToR15 april 2026 18:24
Een bedrijf in de keten die onder een partij valt die moet voldoen aan de cyberbeveiligingswet (niet aan de NIS2) hoeft helemaal niks met de Cbw.

De klant kan bepaalde security eisen opstellen waar je als leverancier aan moet voldoen, op basis van het risicoprofiel dat je voor die klant bent.

Helaas interpreteren teveel partijen dit als: “mijn leveranciers moeten aan de Cbw voldoen, want ik moet dat ook”. En het is ook veel makkelijk om een Cbw questionnaire over de schutting te flikkeren dan per leverancier daadwerkelijk na te denken over welke maatregelen nu echt relevant zijn.

het probleem is niet de wetgeving, het probleem zijn de incompetente mensen die dit in organisaties moeten gaan implementeren.
Reageer
SunnieNL @JustRob15 april 2026 20:25
Eerste vraag die wij als vendor dan terugstellen is: welke risico classificatie geven jullie ons, waarom en welke maatregelen moeten wij van jullie aan voldoen.
Als ze dat niet kunnen beantwoorden heeft de klant zijn zaken niet voor elkaar en brengen we hen daar van op de hoogte.
Reageer
Orangelights23 @NiGeLaToR15 april 2026 18:25
Daar klopt niets van:

- NIS2 zijn de Europese richtlijnen die elk land moet vertalen naar wetgeving, in Nederland is dit de Cyberbeveiligingswet geworden.
- Het Belgische framework genaamd CyberFundamentals (is inclusief certificering) toont aan dat je voldoet aan de wetgeving, dit zal hoogstwaarschijnlijk ook gaan gelden in Nederland.
- NIS2 is helemaal niet van toepassing op de keten.
- Een papieren tijger is alleen een papieren tijger als de organisatie onvoldoende kennis heeft om het daadwerkelijk te implementeren. NIS2 en daarmee de Cbw zijn vooral praktisch. Kijk eens naar de basismaatregelen die het NCSC voorstelt.
Reageer
Orangelights23 @oscar oscar15 april 2026 20:15
Dat is ook volledig incorrect.

ISO 27001 is een management systeem, een framework, met controls die iedere organisatie op de eigen manier mag selecteren (bijv ISO 27002, NIST 800-53, enzovoorts). De Cbw is een wet met eisen. Je kunt ISO 27001 implementeren om dankzij het management systeem te kunnen voldoen aan de eisen vanuit de Cbw, maar de standaard zelf implementeren maakt niet dat een organisatie voldoet aan de wet.

Aan veel reacties te lezen hier is duidelijk te merken dat de overheid, en daarmee het NCSC, nog veel moeten investeren in voorlichting.
Reageer
NiGeLaToR @Orangelights2315 april 2026 20:51
Hear hear. De focus ligt alleen op maatregelen en helemaal niet op bedrijfsrisico profiel, de registratie- en meldplicht en niet vrijblijvendheid cq aansprakelijkheid.
Reageer
SunnieNL @oscar oscar15 april 2026 20:28
Als je cyfun goed doorneemt dan zul je merken dat het veel meer is dan iso27001. Dat is mss maar 50%. Je moet ook aantonen dat zaken werken, technische maatregelen treffen, je supply chain. Het geldt daarnaast voor IT en OT (wordt ook nog wel eens vergeten).
Reageer
Orangelights23 @SunnieNL16 april 2026 08:38
Je moet ook aantonen dat zaken werken, technische maatregelen treffen, je supply chain. Het geldt daarnaast voor IT en OT (wordt ook nog wel eens vergeten).
Dit is ook onderdeel van ISO 27001:2022. CyFun heeft meer controls, maar die zijn prima mee te nemen in de Verklaring van Toepasselijkheid binnen ISO.
Reageer
SunnieNL @Orangelights2317 april 2026 08:29
Mwah, daar ben ik het niet helemaal mee eens. 27001 dekt niet de volledige lading. Dat cyfun meer controls heeft komt omdat 27001 gewoonweg niet voldoende is om volledig aan de Nis2 te voldoen. 27001 gaat ook voornamelijk om de IT supply chain terwijl Nis2 ook kijkt naar disruptie van je supply chain die bv de aanvoer van goederen en daarmee jouw werkzaamheden zou kunnen blokkeren.

27001 gaat ook geenszins over OT beveiliging. Daar is iec 62443 voor.
Reageer
Orangelights23 @SunnieNL17 april 2026 14:14
Ik denk niet dat je de mogelijkheden van 27001 kent. Je kunt alle controls ter wereld van toepassing verklaren. Vergeet niet dat het een managementsysteem is, niet een control framework.

Prima in te zetten dus om compliant te zijn aan welke wetgeving dan ook.
Reageer
SunnieNL @Orangelights2317 april 2026 22:25
Maar als je ze er niet in zet en uit gaat van de basis, dan voldoet het dus niet. Je kunt niet zeggen dat 27001 alleen genoeg is omdat je dus alle controls er nog in moet zetten die er standaard in missen.

Overigens bewijst dat uiteraard nog niet dat je technisch ook voldoet. Je moet kunnen bewijzen dat je maatregelen werken. Dat kan bv alleen met een pentest.

Alleen een framework is geenszins een aantoonbare complaincy.

[Reactie gewijzigd door SunnieNL op 17 april 2026 22:26]

Reageer
Orangelights23 @SunnieNL18 april 2026 11:54
Lees nog even wat ik schreef, management framework vs control framework.
Reageer
NiGeLaToR @oscar oscar15 april 2026 20:50
ISO27001 is een deel van je praktische implementatie, maar geenszins de registratie- & meldplicht en risicoinventarisatie bedrijfsbreed.

Lees die NCSC info anders eerst zelf, of de CBW. Tijdens de raadpleegronde kon je meeschrijven en discussiëren aan de wet zelf. Had dat net als ik gedaan dan had je geweten wat erin staat.
Reageer
Maxdehaas19 15 april 2026 17:20
Mogelijk heb ik niet ver genoeg gezocht, maar wat zijn de consequenties als een bedrijf zich hier niet aan houd? En wie controleert nu of een bedrijf zich hier aan houd?

Of wordt er pas gekeken na dat er wat is gebeurd?
Reageer
NiGeLaToR @Maxdehaas1915 april 2026 17:25
Bestuurlijke & persoonlijke aansprakelijkheid en boetes. Zie:

https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cyberbeveiligingswet/verplichtingen-cyberbeveiligingswet/
Reageer
pagani @NiGeLaToR15 april 2026 17:30
De belangrijkste component hiervan is "Dit betekent dat een bestuurder vervolgd (en veroordeeld)" kan worden, dus daadwerkelijk gevangenisstraffen. Met een boete straf je immers de mens achter de bestuurder weinig.
Reageer
JustRob @pagani15 april 2026 18:25
Nee. Dat zijn geen gevangenisstraffen. Het is geen strafrecht hè. Dat is een schorsing van de bestuurder tot de zaken op orde zijn gesteld.

En dat is nog even los van de hele escalatie ladder die daaraan vooraf gaat én het feit dat tekortkomingen vaak heel moeilijk naar 1 persoon te herleiden zijn. Kijk maar hoeveel bestuurder gestraft worden om het bestuursrecht.

[Reactie gewijzigd door JustRob op 15 april 2026 18:27]

Reageer
pagani @JustRob15 april 2026 18:49
De NIS2 overtredingen vallen Europees breed weldegelijk onder het strafrecht. Dat Nederland het in de lokale wetgeving versoepelt naar (zoals het er nu in staat) boetes en schorsingen betekent niet dat de overige landen dat ook doen.

Bij de multinational waar ik werk (Europees, niet NL) is ook in de trainingen rondom NIS2 opgenomen dat er gevangenisstraffen staan op zware overtredingen. Ook is de lokale implementatie en de vertaling van de NIS2 hierop ingericht.

[Reactie gewijzigd door pagani op 15 april 2026 18:58]

Reageer
PolarBear @pagani15 april 2026 19:15
Voor zover ik weet kan landelijke implementatiewetgeving niet afwijken van de Europese richtlijn (althans niet negatief, strenger mag wel).

Anyway in het voorstel van wet staat dat de bevoegde autoriteit
  • een aanwijzing kan geven (artikel 74, 85, 89)
  • last onder bestuursdwang (artikel 75, 86, 90,92)
  • schoring van leden raad van bestuur (artikel 78)
  • bestuurlijke boete (artikel 80, 87,91,93)
Sterker nog in bijvoorbeeld artikel 91, lid 5
5. Artikel 184 van het Wetboek van Strafrecht is niet van toepassing op de overtreding, bedoeld in het eerste lid, onderdeel b
Dat sluit dus specifiek strafrechtelijk vervolging uit (gaat over het niet voldoen aan bevel of vordering). (zorgt in dit geval overigens voor hogere boetes).

Ook in de bijvoorbeeld de memorie van toelichting
5.6.2 Bestuursrechtelijke handhaving
De Cbw voorziet in bestuursrechtelijke handhaving, die zowel reparatoir als punitief kan zijn (herstelsancties en bestraffende sancties)
Cbw = Cyberbeveiligingswet
De richtlijn zelf spreekt ook niet over strafrecht. Wél over administratieve boetes (en andere zaken):

4.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten bij de uitoefening van hun handhavingsbevoegdheden ten aanzien van belangrijke entiteiten, ten minste de bevoegdheid hebben om:

a) waarschuwingen te geven over inbreuken op deze richtlijn door de betrokken entiteiten;

b) bindende aanwijzingen vast te stellen of een bevel uit te vaardigen waarin de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuk op deze richtlijn te verhelpen;

c) de betrokken entiteiten te gelasten een einde te maken aan gedragingen die inbreuk maken op deze richtlijn en af te zien van herhaling van die gedragingen;

d) de betrokken entiteiten te gelasten er op een gespecificeerde wijze en binnen een gespecificeerde termijn voor te zorgen dat hun maatregelen voor het beheer van cyberbeveiligingsrisico’s in overeenstemming zijn met artikel 21 of te voldoen aan de in artikel 23 vastgestelde rapportageverplichtingen;

e) de betrokken entiteiten te gelasten de natuurlijke of rechtspersonen ten aanzien van wie zij diensten verlenen of activiteiten uitvoeren die mogelijkerwijs door een significante cyberdreiging worden beïnvloed, in kennis te stellen van de aard van de dreiging en alle mogelijke beschermings- of herstelmaatregelen die deze natuurlijke of rechtspersonen kunnen nemen als reactie op die dreiging;

f) de betrokken entiteiten te gelasten de naar aanleiding van een beveiligingsaudit gedane aanbevelingen binnen een redelijke termijn uit te voeren;

g) de betrokken entiteiten te gelasten aspecten van inbreuken op deze richtlijn op een bepaalde manier openbaar te maken;

h) op grond van artikel 34 een administratieve geldboete op te leggen of de oplegging ervan door de bevoegde organen of rechterlijke instanties overeenkomstig het nationale recht te verzoeken bovenop een van de in de punten a) tot en met g) van dit lid bedoelde maatregelen.
Kan iets over het hoofd zien hoor, ben geen EU jurist. Maar dat weldegelijk onder strafrecht vallen zie ik nergens terug.

[Reactie gewijzigd door PolarBear op 15 april 2026 19:16]

Reageer
R_Zwart @PolarBear15 april 2026 21:37
Voor zover ik weet kan landelijke implementatiewetgeving niet afwijken van de Europese richtlijn (althans niet negatief, strenger mag wel).
Toch gebeurt het vaker. Denk bijvoorbeeld aan de wet die over consumentengarantie gaat: De EU richtlijn is veel beter voor consumenten maar de Nederlandse regering heeft het afgezwakt in het voordeel van bedrijven.
Reageer
musiman @R_Zwart16 april 2026 09:37
Voor zover ik weet mag dat bij NIS2 niet, alleen strenger is toegestaan. Maar ik heb één van de NIS2 goeroes deze week in-house (geeft bij ons de NIS2 trainingen en heeft er ook een mooi boek over geschreven). Ik zal het hem nog even vragen.
Reageer
Heroic_Nonsense @R_Zwart16 april 2026 11:26
Daar ben ik het dan weer niet mee eens.

De EU-richtlijn kapt garantie af op twee jaar, terwijl de Nederlandse wet dat aanpast naar een termijn waarvan de consument mag verwachten dat het product deugdelijk moet zijn.

En dat is in de meeste gevallen veel langer dan twee jaar, waardoor je in Nederland effectief ook veel langer dan twee jaar de leverancier kunt verzoeken het euvel kosteloos te verhelpen.

[Reactie gewijzigd door Heroic_Nonsense op 16 april 2026 11:27]

Reageer
kevinvs @JustRob15 april 2026 21:01
Dus nu geven bestuurder wel opdracht aan de organisatie om een bestuurdersaansprakelijkheidsverzekering af te sluiten die geld boetes op bestuurders dekt, ook in het geval van "onbehoorlijk bestuur" (bron: https://www.abnamroverzekeringen.nl/zakelijk/verzekeringen/bestuurdersaansprakelijkheid) . Daarbij wordt de premie dan veelal door de organisatie betaald.

Daarmee raak je een bestuurder alsnog niet in de portemonnee, zowel de premie als de boetes niet.
Ik vraag me dan ook af of er niet een verbod op verzekeren van boete moet komen te staan.

"Nederland is een van de weinige landen in Europa waar een boete - indien aan de polisvoorwaarden wordt voldaan - verzekerbaar is. In veel andere landen is hierop namelijk een expliciet verbod aanwezig." Bron: https://www.aon.com/netherlands/newsroom/persberichten/2019/avg-boete-nederland-onder-voorwaarden-verzekerbaar
Reageer
R_Zwart @kevinvs15 april 2026 21:38
Een bestuurdersaansprakelijkheidsverzekering keert echt niet uit als je willens en wetens de wet hebt overtreden.
Reageer
FreezeXJ @R_Zwart15 april 2026 21:49
Hoe overtreed je per ongeluk de wet? Ergens toevallig goed advies negeren? Bestuurders worden zeer zelden persoonlijk aansprakelijk gesteld, dan moet je het behoorlijk bont maken ("ernstig verwijt"), zoiets als bewust geld achterover drukken, je bedrijf expres regels laten overtreden, en liefst herhaaldelijk. Zie ook https://ondernemersplein.overheid.nl/bedrijfsvoering/juridische-zaken/bestuurdersaansprakelijkheid-en-persoonlijke-aansprakelijkheid/ waar ze nog wat voorbeelden geven.
Dat doe je niet zomaar, of je bent echt een incapabel bestuurder...
Reageer
kevinvs @FreezeXJ15 april 2026 21:58
Dus eerst wordt het bedrijf aansprakelijk gesteld > bedrijfsaansprakelijkheidsverzekering
En dan bij echt onbehoorlijk bestuur de bestuurder > bestuurdersaansprakelijkheidsverzekering
Resultaat > Meer verzekering, geen bestuurder die dit in de privé portemonnee raakt (in premie of boete). Dat vind ik jammer.
Reageer
FreezeXJ @kevinvs15 april 2026 22:08
Resultaat als er echt goed gehandhaafd wordt: de premie wordt onbetaalbaar, of de verzekeraar gaat hele harde eisen stellen om te voorkomen dat ie leeggeplukt wordt.
Dus ofwel het bedrijf pist tig procenten (winst)marge weg, of ze moeten alsnog dingen gaan regelen. Uiteindelijk wordt het dan een tandartsverzekering, gewoon een manier om de kosten te spreiden, want netto kost ie je meer dan het kan opleveren.
Reageer
PolarBear @kevinvs16 april 2026 09:09
geen bestuurder die dit in de privé portemonnee raakt (in premie of boete). Dat vind ik jammer.
Be carefull what you wish for. In het uiterste geval kan je doorredeneren dat bij elke fout die tot een incident leidt de bestuurder aansprakelijk is. Dat klinkt leuk maar is onwerkbaar in de praktijk, er zal niemand meer zijn die bestuurder wil worden en die verantwoordelijkheid wil dragen of organisaties worden zo gemicromanaged dat ze niet levensvatbaar zijn.
Reageer
Triblade_8472 @NiGeLaToR15 april 2026 18:04
Precies.

Sinds die regel krijgt beveiliging opeens aandacht en een stoot geld - gek hé?
Reageer
ApexAlpha @Maxdehaas1915 april 2026 17:34
Het maakt vooral cybersecurity in de brede zin de verantwoordelijkheid van bestuurders. Je komt er niet meer vanaf met "ja de IT afdeling zei..." straks als iets mis gaat.
Reageer
david-v @ApexAlpha15 april 2026 17:54
Dat is precies wat ze hiermee willen bereiken. Ook om te voorkomen dat bestuurders geld en tijd besparen of genoegen nemen met een "het is allemaal prima geregeld hier bij ons" van de security afdeling.

Krijg je te maken met een datalek en heb je je zaken niet op orde, ben je als bestuurder aansprakelijk.

Als ik zie hoe de DNB bij financiële instellingen de druk bij bestuurders legt als het om dit soort zaken gaat, dan heeft dat absoluut effect. Je komt er niet zomaar mee weg.
Reageer
PolarBear @david-v15 april 2026 19:29
Als ik zie hoe de DNB bij financiële instellingen de druk bij bestuurders legt als het om dit soort zaken gaat, dan heeft dat absoluut effect. Je komt er niet zomaar mee weg.
Ja en nee. De DNB is bijvoorbeeld ontzettend hard gaan handhaven op de Wwft (zie bijvoorbeeld dit bericht), met name op het monitoren van klanten (KYC, know your customer). Daarnaast heeft de DNB een hele strenge interpretatie van de Wwft. Dus banken hebben enorme Wwft afdelingen opgetuigd, die kosten worden doorbelast aan klanten (met name zakelijk, voor een BV 8,75 euro per maand bij de Rabo). En het levert niets op, of in ieder geval weinig (zie rapport algemene rekenkamer).

De vraag is over er echt een euro minder word wit gewassen nu. Het is een beetje operatie geslaagd, patient overleden. Daarmee wil ik niet zeggen dat de Wwft totaal zinloos is, dat handhaving niet belangrijk is, dat dit ook bij deze wet gaat gebeuren. Maar goede intenties hoeven nog niet altijd de goede uitkomsten te hebben.
Reageer
david-v @PolarBear15 april 2026 19:54
Maar goede intenties hoeven nog niet altijd de goede uitkomsten te hebben.
Je gaat er niet een datalek mee voorkomen, maar je hebt dan de situatie waarbij bedrijf A wel alle processen goed heeft een toch gehacked is. Bedrijf B heeft zijn leven niet geregeld is is ook gehacked. Bedrijf A krijgt te maken met reputatieschade maar de bestuurders worden niet aansprakelijk gesteld. Bedrijf B kwijt reputatie schade en de bestuurders worden verantwoordelijk gehouden, wat tot een straf van die bestuurders kan leiden.

Ik heb liever dat bedrijven die laks omgaan met hun processen aangepakt worden, en dat zijn er best veel. Kijk naar Odido, met gegevens die ze helemaal niet mochten bewaren zo lang. Daar mag wat mij betreft wel een boete tegenover staan.
Reageer
R_Zwart @david-v15 april 2026 21:40
Ik vind wel dat je de CIO / IT manager ook wel verantwoordelijk mag maken voor fuck-ups.
Reageer
R_Zwart @ApexAlpha15 april 2026 21:39
Het gevolg zal zijn dat de IT afdeling over alle details verantwoording moet gaan afleggen aan de bestuurder voordat er ook maar iets gedaan mag worden.
Reageer
FreezeXJ @R_Zwart15 april 2026 21:52
Ach, dan stappen mensen vanzelf over naar een toko die dat wel beter geregeld heeft... Uiteindelijk is dat het hele probleem: mensen moeten slecht-gerunde bedrijven verlaten, dan vallen ze vanzelf om.

Daarnaast is het ook de taak van de IT-manager om de problemen helder genoeg aan het bestuur uit te leggen zodat ze een verantwoorde keuze kunnen maken. Kiezen ze dan alsnog verkeerd, dan mogen ze vanaf nu (ok, vanaf begin volgend jaar) op de blaren zitten, dus opeens heeft iedereen er belang bij om het wel te snappen.
Reageer
-Elmer- @Maxdehaas1915 april 2026 17:28
De controle hangt af van of een bedrijf als kritieke entiteit (proactief) of belangrijke entiteit (reactief) is aangewezen. Wie controlleert is sector afhankelijk.

In beide gevallen zijn bestuurders van het bedrjf persoonlijk aansprakelijk en aanspreekbaar op het op orde hebben van informatiebeveiliging.

[Reactie gewijzigd door -Elmer- op 15 april 2026 17:29]

Reageer
Kalief @Maxdehaas1915 april 2026 17:26
De toezichthouder kan bijvoorbeeld een audit of een te verrichten handeling opleggen, en uiteindelijk ook een last onder bestuursdwang of een bestuurlijke boete opleggen.
https://www.nctv.nl/onderwerpen/v/vitale-infrastructuur/toezicht-en-handhaving-wwke
Reageer
Baardmeester @Maxdehaas1915 april 2026 18:34
De RDI gaat toezicht houden. Ze geven aan 3 vormen van inspecties te gaan uitvoeren. Inspecties naar aanleiding van incidenten is er een van:

https://www.rdi.nl/onderwerpen/digitale-weerbaarheid/cyberbeveiligingswet/toezicht-rdi
Reageer
magnifor @Maxdehaas1915 april 2026 19:16
Zal wel net als de AVG/GDPR worden. Veel grootpraat, op papier zware straffen maar in de praktijk worden bedrijven niet of nauwelijks gestraft. Dingen zoals de cookiewet is puur ij het leven geroepen om overbetaalde EU ambtenaren werk te geven. Met NIS2 zal dat ook wel zo gaan. Pappen, nathouden en de hoofdverantwoordelijken het hoofd boven water houden. Hoop dat ik het fout heb maar verwacht 0. Onder de streep is het de elite die de elite beschermt.
Reageer
R_Zwart @magnifor15 april 2026 21:42
Veel dingen zijn dan ook niet zo zwart-wit. Als een bedrijf moedwillig de boel flest dan zal er echt wel een flinke straf worden opgelegd. Maar vaak is het een onhandige samenloop van omstandigheden.

En stel je niet zo aan met gezeur over "de elite". Met Calimero-gedrag bereik je niets.
Reageer
naaitsab 15 april 2026 17:53
De verwachting is dat de Nederlandse Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking treedt. Pas daarna moeten Nederlandse organisaties voldoen aan de strengere maatregelen voor de beveiliging van netwerk- en informatiesystemen.
Mag hopen dat er een aardige 'coulance' tijd van minimaal een jaar wordt gegeven. De overheid heeft zelf jaren verzaakt om de wet aan te nemen. Waarbij de informatieverschaffing over de inhoud ook niet bepaald sluitend is geweest met veel vage beschrijvingen. Dus meer dan vrij generiek je voorbereiden op de genoemde onderdelen zat er niet bij. Zeker voor kleine bedrijven die verplicht zijn om hieraan mee te doen zal dit een aardige dobber worden.

Het idee is goed, als ik af en toe zie hoe schokkend amateuristisch de IT bij best veel huisartsen is geregeld valt er veel te winnen. Of deze wet hierin daadwerkelijk verbetering gaat geven, of puur een administratief kunstje is zal de tijd leren. Zeker voor grote bedrijven vind ik persoonlijk het puntje aansprakelijkheid van het bestuur een hele krachtige. Hoop dat veel IT-collega's hier profijt van gaan hebben qua awareness en drive vanuit bestuur.
Reageer
mphilipp @naaitsab15 april 2026 18:03
De overheid heeft zelf jaren verzaakt om de wet aan te nemen.
Dat vind ik een beetje flauw. Alsof redelijkheid, logica, eigen verantwoordelijkheid, goed bestuur, etcetera ineens niet meer bestaat. "Omdat de overheid verzuimt een maximum snelheid in te voeren, vind ik het verantwoordelijk om 250kmh door de binnenstad te scheuren en is dat de schuld van de overheid". Is natuurlijk erg kort door de bocht en ik chargeer bewust, maar moet de overheid nu écht overal regeltjes voor maken voordat iemand zijn eigen verantwoordelijkeid neemt? Moet dat echt? En er wordt al zoveel geklaagd over het oerwoud aan regels en wetten in Nederland.
Een bedrijf mag best zelf wat verantwoordelijkheid nemen. Ik ga geen namen noemen, maar ik hoor van bedrijven dat zij spullen moeten opleveren aan klanten via gewoon FTP, niet SFTP, niets secure. Nee, te ingewikkeld. Ik zou dan zeggen: dan lever ik niets, want het is niet secure. Iedereen kan erin op die manier. Maar het gaat dan op bedrijven die nogal low-tech opereren. Waarschijnlijk rijzen je de haren ten berge als je bij dergelijke bedrijven langs gaat om naar hun ICT systemen te kijken.
En dan denk ik: lezen zij geen kranten en kijken zij geen nieuws? Weten ze niet dat er hackers zijn? Of denken ze 'ik ben niet interessant voor een hekkerd' ofzo?

Nee, ik zou weinig coulance hebben. Als iemand (ook privépersonen) anno 2026 nog niet doorhebben dat ze allemaal en altijd kwetsbaar zijn voor malware, hackers en andere digitale onverlaten, dan verdien je het om slachtoffer te worden. Je laat je voordeur ook niet open, toch?
Reageer
Polderviking @mphilipp15 april 2026 18:10
Dat bedrijven afwachten velke vorm het nou precies krijgt en wat het concreet voor ze gaat inhouden vind ik best logisch en dus niet zo flauw.
Dan kan je met zo'n FTP voorbeeld komen maar dit gaat natuurlijk veel verder dan dat.

[Reactie gewijzigd door Polderviking op 15 april 2026 18:13]

Reageer
Mellow Jack @Polderviking15 april 2026 18:58
Voor kleine organisaties misschien wel begrijpelijk maar grote organisaties zijn al een tijdje bezig met de voorbereidingen. Zoals hier vaker gemeld is bijv een ISO2700x certificering een veel gebruikte methode
Reageer
mphilipp @Polderviking15 april 2026 19:22
Nee, not good enough. De overheid gaat niet voorschrijven exact welke maatregelen je moet nemen. Ze zeggen niet welke instellingen je firewall of IDS moet hebben. Er wordt in zo'n wet of regel gezegd dat je de boel moet encrypten etc. Kortweg dat je IETS moet doen. Waarschijnlijk in meer woorden, en waarschijnlijk worden er bepaalde standaarden aaangehaald, maar 85% kun je met gezond verstand en een ingehuurde security specialist ook wel bedenken.

Bedrijven die helemaal niets doen, of zoals in het voorbeeld dat ik aanhaal, gewoon gevaarlijk bezig zijn, zouden beter moeten weten. Dat ligt echt niet aan de overheid. Dat is vluchtgedrag, smoesjes zoeken. Nee, denk gewoon na, sla eens een krant open en zie wat er om je heen gebeurt.
Reageer
Polderviking @mphilipp16 april 2026 10:46
Waarom blijf je het het alleen hebben over technische maatregelen?
NIS2 is veel breder.

En niet iedereen die daar afwachtend op reageert is ook automatisch iemand die een onbeveilige FTP server in de lucht houd...

85 procent compliance is daarbij ook nogsteeds 15 procent non-compliance.

[Reactie gewijzigd door Polderviking op 16 april 2026 11:05]

Reageer
Baardmeester @naaitsab15 april 2026 18:29
De meeste huisartsen praktijken hoeven niet te voldoen gezien kleine bedrijven onder de 50 medewerkers en 10 miljoen omzet je niet als nis2 entiteit wordt aangemerkt tenzij je een speciale aanwijzing als essentiële entiteit hebt.
Reageer
SunnieNL @naaitsab15 april 2026 20:31
Nog meer coulance tijd? Je hebt al meer dan 2 jaar coulance gehad omdat we hier zo tergend traag zijn. De Europese directive is al jaren klaar en onze Nederlandse implementatie wijkt in de uitvoer voor de bedrijven die er onder vallen, niet af van waar ze aan moeten voldoen en wat er verwacht wordt. De draft versie van de nl wetgeving is er ook al een jaar.

Van mij mag de wet binnen 6 maanden vol in werking treden als die door de 1ste kamer is.
Reageer
Falcon10 15 april 2026 18:30
Artikel is wel beetje beperkt voor zo'n belangrijke regelgeving. Is er iets van termijn/deadlines voor bedrijven om het geimplementeerd te krijgen? Welk framework mag gebruikt worden in NL? Hebben jullie een eigen framework ontwikkeld (zoals CyFun in Belgie?), of is ISO27001 en een conformiteitsattest mbt NIS2 voldoende, ...?

In Belgie is dat bv 18 april 2026 als eerste deadine (Nu zaterdag dus. Spoiler: velen zijn niet klaar). En tegen 18 april 2027 moeten allen entiteiten compliant zijn aan de NIS2 wetgeving in Belgie.
Reageer
Tha Render_2 15 april 2026 18:30
"Volgens de huidige en voorgaande kabinetten is de complexiteit van deze wetsimplementatie onderschat." Laat opnieuw zien dat overheden en hun leiders zich niet genoeg laten omringen door specialisten en vaak niet goed weten hoe ze iets moeten aanpakken. Dit heeft dus jaren geduurd, terwijl het helemaal niet ingewikkeld was, België was al klaar in 2024 met volledig wetsontwerp en goedkeuring, ik heb er zelf aan meegewerkt, complex was/is het niet.
Reageer
Falcon10 @Tha Render_215 april 2026 19:02
Nu wil ik niet de partiepoeper zijn, maar pas de CyFun of ISO27001 controles maar eens toe op OT omgevingen. Het wetsontwerp mag dan wel vrij snel in Belgie goedgekeurd zijn, de praktische controles gekoppeld aan de wetstekst zelf om compliant te raken zijn vanuit theoretisch oogpunt geen drama, tot je het op de werkvloer moet implementeren. En as said: doe dat vervolgens nog maar eens op de OT omgeving ipv de IT omgeving die door de meeste theoretici "gekend" is.
Reageer
Kalief 15 april 2026 17:25
De verwachting is dat de Nederlandse Cyberbeveiligingswet in het tweede kwartaal van 2026 in werking treedt.
Die verwachting stamt uit juni 2025. Inmiddels is dat tweede kwartaal is al weer een tijdje bezig.

-- Ik vermoed dat de 'irrelevant-modereerders denken dat een wet meteen in werking treedt zodra de Tweede Kamer die heeft aangenomen. Dat is dus niet zo. Eerst moet de Eerste Kamer er nog mee instemmen en die heeft het nog niet eens op de agenda staan. En dan moet het nog in het Staatsblad worden gepubliceerd. En er wordt waarschijnlijk een ingangsdatum in de toekomst aangehangen aangezien bedrijven zich moeten kunnen voorbereiden.

[Reactie gewijzigd door Kalief op 15 april 2026 17:45]

Reageer
kodak @Kalief15 april 2026 19:16
Je oorspronkelijke reactie is zo te lezen niet duidelijk in wat je bedoelde en daardoor op meerdere manieren op te vatten. Je bedoeling is nu duidelijk maar het feit is wel dat er geen nieuw standpunt ingenomen lijkt. En hoewel wij dan van mening kunnen zijn dat de verwachtingen verouderd is, of maar beter zo opgevat kan worden, voorlopig lijkt het er op dat het nieuwe kabinet het standpunt liever negeert. Niet vreemd, omdat het door een ander kabinet is gedaan.
Reageer
Fatuna 15 april 2026 20:11
Voor iedereen die, met als ik, het stukje "tweede kwartaal in werking treden" niet goed snapt (het tweede kwartaal is begonnen op 1 april), er wordt bedoelt: ergens in het tweede kwartaal. Dus politieke taal voor "voor het derde kwartaal".
Reageer
SuperDre 15 april 2026 22:56
Nou, voordat het bedrijven hierop gaat beboeten etc, moeten ze eerst maar zorgen dat de overheid zelf hier aan voldoet.
Reageer
hherrie 16 april 2026 10:25
Onder meer Nederland heeft herhaaldelijk uitstel gekregen om de NIS2-verplichtingen om te zetten naar nationale wetgeving.
Nou nee, Nederland is gewoon te laat. Er is geen uitstel verleend voor de implementatie. Sterker nog: de Europese Commissie is een zogenoemde infractie- of inbreukprocedure gestart. Vooralsnog bevindt die procedure zich nog in de administratieve fase.
Reageer
dimdek 16 april 2026 10:46
En nu ben ik dus bang dat het resultaat van de wetgeving wordt dat we nog meer in de greep komen van de Amerikaanse big-tech bedrijven. Want de interpretatie van cybersecurity met meldplicht, zorgplicht en registratieplicht leidt meestal tot het implementeren van big-tech opties.
Nu al werken sites niet als je Google servers hebt geblokkeerd met je pihole. 2FA wordt bijna uitsluitend aangeboden via apps uit de Google Play Store of de Apple Store. De big-tech bedrijven kunnen lage prijzen aanbieden omdat ze worden ´gesponsord´ door Amerikaanse overheidsinstanties en daarmee ook pasklare oplossingen aanbieden die niet in ieders belang zijn. De lobby in Brussel voor dergelijke wetgeving wordt dan ook dikwijls gedaan door de big-tech bedrijven.
Reageer

Om te kunnen reageren moet je ingelogd zijn