Tweede kamer stemt in met invoering Cyberbeveiligingswet (NIS2)

Vandaag (woensdag 15 april 2026) stemde de Tweede Kamer in met de Cyberbeveiligingswet. Cyberbeveiligingswet. De wet gaat nu naar de Eerste Kamer. Die goedkeuring heeft statistisch een kans op een “Ja” van meer dan 95%. Wij adviseren alle organisaties: Reken op inwerkingtreding per 1 juli 2026 en start nu.

De wet is meermaals uitgesteld geweest. En precies daarom is het nu van groot belang te melden dat de Cyberbeveiligingswet er nu echt snel aankomt. Gisteren viel de laatste serieuze hobbel weg. Nu volgt er alleen nog één Eerste Kamer-sessie. De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Het doel is helder: organisaties beter weerbaar maken tegen cyberincidenten. Niet alleen om boetes te voorkomen, maar vooral om verstoringen, datalekken en schade aan ketens te beperken.

In deze blog leggen we uit wat de Cyberbeveiligingswet inhoudt, voor wie deze geldt en wat dit concreet betekent voor jouw organisatie. Ook als je zelf niet direct onder de wet valt.

Wat houdt de Cyberbeveiligingswet in?

De Cyberbeveiligingswet verplicht bepaalde organisaties om hun digitale beveiliging aantoonbaar op orde te hebben. Het gaat daarbij niet alleen om IT-oplossingen, maar ook om hoe je omgaat met risico’s, incidenten en leveranciers.

De achterliggende gedachte is simpel. Als een organisatie een belangrijke rol speelt in de samenleving of in een kritieke keten, mag digitale veiligheid geen toeval zijn. Organisaties moeten kunnen uitleggen welke maatregelen zij nemen, waarom ze dat doen en hoe ze controleren of dit werkt.

De wet schrijft niet precies voor hóe je dit moet invullen. Wat passend is, verschilt per organisatie. Wel moet je kunnen laten zien dat je bewust met cybersecurity bezig bent en niet pas handelt als het misgaat.

Wanneer ben je direct NIS2-plichtig?

Sommige organisaties vallen direct onder de Cyberbeveiligingswet. Dat geldt met name voor organisaties in sectoren die van groot maatschappelijk belang zijn, zoals energie, zorg, vervoer, industrie en digitale infrastructuur. Ook de omvang van een organisatie speelt een belangrijke rol.

Grote organisaties binnen deze sectoren zijn vrijwel altijd verplicht om aan de wet te voldoen. Middelgrote organisaties kunnen daar ook onder vallen. In specifieke situaties geldt de verplichting zelfs voor kleinere organisaties, bijvoorbeeld wanneer zij een cruciale rol spelen in digitale of overheidsinfrastructuur.

Om dit inzichtelijk te maken wordt vaak gebruikgemaakt van de NIS2-flowchart, zoals gepubliceerd door KPN. Deze laat stap voor stap zien of een organisatie onder de wet valt.

Bron afbeelding: KPN

Belangrijk: Val je direct onder de wet, dan geldt vanaf 1 juli 2026 dat je moet kunnen aantonen dat je je zaken op orde hebt. Alleen aangeven dat je ermee bezig bent, is niet voldoende.

Wat wordt er concreet van organisaties verwacht?

De Cyberbeveiligingswet draait om aantoonbaarheid. Organisaties moeten weten waar hun risico’s zitten, voorbereid zijn op incidenten en in staat zijn om snel en beheerst te handelen als er iets misgaat.

Dat betekent onder andere dat je zicht hebt op je IT-omgeving, dat afspraken zijn vastgelegd en dat medewerkers weten wat er van hen verwacht wordt. Ook leveranciers en partners maken hier nadrukkelijk onderdeel van uit.

Het hoeft niet ingewikkeld te zijn, maar het moet wel bewust en structureel gebeuren. Cybersecurity is daarmee geen eenmalig project, maar een onderdeel van normaal bedrijfsvoeren.

Bestuurdersaansprakelijkheid: ook een verantwoordelijkheid aan de top

Wat vaak wordt onderschat, is dat de Cyberbeveiligingswet expliciet verantwoordelijkheid legt bij bestuur en directie. Het bestuur moet kunnen aantonen dat cybersecurity serieus en structureel is georganiseerd. Bij nalatigheid kan dit gevolgen hebben voor de organisatie, maar ook voor bestuurders persoonlijk. Daarmee is digitale veiligheid geen technisch onderwerp meer dat je kunt delegeren, maar een vast onderdeel van goed bestuur.

Hoe BK IT Solutions organisaties helpt

BK IT Solutions helpt organisaties die direct onder de Cyberbeveiligingswet vallen én organisaties die indirect vragen krijgen vanuit hun klanten. Wij vertalen wetgeving naar de praktijk, zonder onnodige complexiteit.

We beginnen altijd bij inzicht. Waar sta je nu en waar loop je risico? Vanuit daar helpen we met het doorvoeren van passende maatregelen en het vastleggen hiervan op een manier die ook richting klanten of toezichthouders logisch en uitlegbaar is.

Geen dikke rapporten voor in de la, maar een aanpak die past bij jouw organisatie en dagelijkse praktijk.

Aantoonbaar voldoen met een Supply Chain certificaat

Voor veel organisaties zit de grootste uitdaging niet in wat ze doen, maar in hoe ze dat aantonen. Een Supply Chain certificaat helpt om dit concreet en overzichtelijk te maken.

Met zo’n certificaat kun je aan klanten laten zien dat je passende beveiligingsmaatregelen hebt genomen en hier structureel aandacht aan besteedt. Dat voorkomt discussie, versnelt klantvragen en geeft vertrouwen binnen de keten.

Met name organisaties die leveren aan NIS2-plichtige klanten ervaren dit als een praktisch en waardevol hulpmiddel.

Wacht niet tot het moment daar is

De Cyberbeveiligingswet is geen toekomstmuziek meer. 1 juli 2026 komt snel dichterbij. Of je nu direct of indirect geraakt wordt, dit is hét moment om inzicht te krijgen in waar je staat.

Wil je weten wat de Cyberbeveiligingswet betekent voor jouw organisatie, of krijg je al vragen vanuit klanten? Neem contact met ons op. We denken graag met je mee, in duidelijke taal en met een aanpak die past bij jouw situatie.