NIS2 vanaf 1 juli 2026: ook niet-plichtige bedrijven krijgen ermee te maken
De Tweede Kamer behandelt in maart de Cyberbeveiligingswet. De planning ligt op koers: de invoering staat nog steeds gepland voor 1 juli 2026.
Deze wet is de Nederlandse uitwerking van de Europese NIS2-richtlijn. NIS2 legt stevige eisen op aan organisaties met een essentiële rol in de samenleving én aan hun leveranciers. De verwachting is dat 8.000 tot 10.000 organisaties straks onder de wet vallen. Maar de impact reikt verder dan die groep.
Wat betekent dit voor jou?
Werk je als leverancier of dienstverlener voor een organisatie die straks wél onder NIS2 valt? Dan gaan zij je vragen stellen over jouw cybersecurity. Zij zijn namelijk verplicht volgens de “all hazards-benadering” om risico’s in hun hele keten in beeld te brengen en te beheersen. Dat betekent:
-
ze moeten weten wie hun leveranciers zijn en de cyberrisico’s beoordelen
-
ze moeten passende beveiligingsmaatregelen contractueel en controleerbaar afdwingen (cybersecurity-eisen staan steeds vaker op contracten en inkoopvoorwaarden)
-
ze mogen eisen stellen aan jouw beveiliging
-
ze kunnen vragen om certificaten of audits
Kortom: ook als je zelf niet onder de wet valt, krijg je er wel mee te maken. Cyberveiligheid wordt een voorwaarde om zaken te blijven doen.
Ons advies
Bereid je goed voor. Zorg dat je weet wat de wet inhoudt en wat er van je wordt verwacht. Kijk bijvoorbeeld welke maatregelen je al hebt genomen – en wat er nog beter kan.
