In Europa is de NIS2-richtlijn aangenomen. Binnen Nederland wordt deze richtlijn vertaald naar de nieuwe Cyberbeveiligingswet (CBW), die medio 2026 van kracht wordt. De kans is groot dat jouw organisatie onder deze wet valt – zeker als je actief bent in essentiële sectoren als de zorg, transport & logistiek of energie. Maar wat houdt NIS2 precies in, en hoe kun je je als organisatie nu al voorbereiden?
NIS2, CBW en cybersecurity: wat verandert er?
NIS2 is de opvolger van de bestaande Europese richtlijn voor netwerk- en informatiebeveiliging. De nieuwe regels zijn veel strenger en richten zich op een breder scala aan sectoren. Denk aan zorginstellingen, productiebedrijven, energiebedrijven, transport en digitale dienstverleners.
“De CBW geldt straks voor veel meer organisaties dan je misschien denkt. Ook als je niet direct onder NIS2 valt, kun je als toeleverancier alsnog verantwoordelijk worden gehouden,” vertelt Jenne Zuidema, presales consultant bij CTNET.
Informatiebeveiliging aantoonbaar op orde hebben
De kern van de richtlijn: cybersecurity moet aantoonbaar op orde zijn. Organisaties moeten risicoanalyses uitvoeren, incidenten melden en hun toeleveringsketen onder controle hebben. Organisaties die ISO 27001-gecertificeerd zijn, hebben al een stevige basis. NIS2 scherpt die normering aan en vraagt daarnaast meer verantwoordelijkheid van de directie.
“Wat NIS2 echt anders maakt, is dat het bestuur expliciet verantwoordelijk wordt gesteld. Je kunt dat niet meer alleen bij de IT-afdeling neerleggen,” benadrukt Jenne. Niet naleven kan leiden tot hoge boetes, reputatieschade of zelfs persoonlijke aansprakelijkheid voor bestuurders.
Wat betekent de CBW concreet voor jouw organisatie?
De richtlijn stelt eisen op het gebied van risicobeheer, monitoring, encryptie, back-ups en toegang tot systemen. Ook de meldplicht bij incidenten wordt aangescherpt: binnen 24 uur moet je een eerste melding doen bij de toezichthouder. Dat betekent dat je processen, verantwoordelijkheden en tooling op orde moeten zijn – ook buiten kantooruren. “Veel organisaties doen al iets aan informatiebeveiliging, maar missen het overzicht. NIS2 vraagt om een structurele aanpak die je ook moet kunnen aantonen,” legt Jenne uit.
Wat kun je nu al doen om je voor te bereiden op NIS2?
Hoewel de wet nog niet definitief is ingegaan, is dit al wel het moment om stappen te zetten. Wacht niet tot vlak voor de deadline, maar neem de tijd om te analyseren wat er nog moet gebeuren. Heb je bijvoorbeeld nieuwe tooling nodig, of moet je organisatie nog updaten naar Windows 11?
“Een middelgrote organisatie kan binnen een paar maanden al ver komen. Maar dan moet je wél nu beginnen, niet wachten tot het te laat is,” waarschuwt Jenne. “Zelf zijn we ook druk bezig met de voorbereiding op NIS2. Niet omdat het verplicht is, maar omdat we het belangrijk vinden om te laten zien dat we doen wat we onze klanten adviseren.”
Stap voor stap op weg naar volledige compliance
Bij CTNET helpen we organisaties bij het opstellen en uitvoeren van deze stappen. Van technische maatregelen en documentatie tot begeleiding bij bewustwording en gedragsverandering. Geen standaardaanpak, maar maatwerk afgestemd op jouw sector, systemen en mensen.
“Soms is het een kwestie van helder beleid opstellen. Soms vraagt het om nieuwe tooling of begeleiding bij implementatie. In beide gevallen helpen we organisaties stap voor stap verder, via een overzichtelijk platform. Daarin kun je precies zien hoe je cyberbeveiliging ervoor staat en wat er nog moet gebeuren,” aldus Jenne.
Wil je weten of jouw organisatie onder NIS2 valt? Of twijfel je waar je moet beginnen? Plan dan een vrijblijvend gesprek met ons in. We denken met je mee, zorgen voor overzicht en helpen je stap voor stap op weg naar volledige compliance.
