De Cyberbeveiligingswet gaat in op 1 juli: wat moet jouw organisatie nú geregeld hebben?

Flowerbed engineering helpt organisaties dagelijks met het opbouwen van digitale weerbaarheid en het voldoen aan wet- en regelgeving op het gebied van cybersecurity. De komst van de Cyberbeveiligingswet raakt direct aan wat we voor onze klanten doen, en we volgen de voortgang ervan op de voet.

De Cyberbeveiligingswet komt eraan. Niet “binnenkort” of “ergens in 2026”, maar gewoon op 1 juli. De overheid houdt vast aan Q2, het NCSC bevestigt de planning, en meer dan 8.000 Nederlandse organisaties gaan er direct mee te maken krijgen.

Toch zien we dat veel organisaties nog steeds in afwacht-modus zitten. Begrijpelijk, want de wet is al meerdere keren verschoven. Maar wie nu nog niets heeft gedaan, heeft een serieus probleem. Voorbereiding kost gemiddeld vier tot zes maanden. Dat raam sluit op 1 juli.

Wat de wet precies is

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Die richtlijn had al in oktober 2024 van kracht moeten zijn, maar de implementatie heeft meer tijd gekost dan verwacht. Wat niet veranderd is, is de inhoud.

De wet verplicht organisaties in vitale en belangrijke sectoren tot drie dingen: een zorgplicht, een meldplicht en een registratieplicht. Daarboven komt ketenverantwoordelijkheid. Dat laatste is het onderdeel dat de meeste organisaties verrast.

Wie er onder valt

De wet geldt voor organisaties met minimaal 50 medewerkers of een omzet en balanstotaal van meer dan 10 miljoen euro, actief in een van de aangewezen sectoren. Denk aan zorg, energie, transport, drinkwater, digitale dienstverlening, financiële infrastructuur, overheid en afvalverwerking.

Maar ook als jouw organisatie er zelf niet direct onder valt, kun je er mee te maken krijgen. De organisaties die wel onder de wet vallen, moeten aantoonbaar grip hebben op hun toeleveringsketen. Ze gaan eisen stellen aan hun leveranciers. Als jij een IT-dienst levert aan een zorginstelling, een gemeente of een energiebedrijf, raakt de wet jou alsnog.

Wat de wet concreet van je vraagt

De zorgplicht is het zwaarste onderdeel. Je moet aantoonbaar maatregelen hebben genomen op tien specifieke gebieden, waaronder risicobeheer, beveiliging van netwerken en systemen, toegangsbeheer, encryptie, incidentafhandeling en continuïteitsplanning. Dit zijn geen aanbevelingen, maar verplichtingen. Bestuurders worden persoonlijk verantwoordelijk.

De meldplicht verplicht organisaties om significante cybersecurity-incidenten binnen 24 uur te melden bij de toezichthouder, met een volledig rapport binnen 72 uur. Wie dat systeem nu nog niet heeft staan, bouwt het niet in een week.

De registratieplicht houdt in dat organisaties zich moeten aanmelden bij de bevoegde toezichthouder voor hun sector. Die toezichthouders zijn aangewezen en staan klaar.

Wat de meeste organisaties onderschatten

Ketenverantwoordelijkheid. De wet vraagt niet alleen dat jij je eigen huis op orde hebt, maar ook dat je weet wat je leveranciers doen. Welke partijen hebben toegang tot jouw systemen? Welke software komt van derden? Heb je contractuele afspraken over security, meldplichten en audits?

Dat is een exercitie die veel tijd kost. Leveranciers moeten worden aangeschreven, afspraken moeten worden herzien, contracten moeten worden aangepast. Wie hier nu pas mee begint, haalt de datum niet.

Drie dingen die je deze week kunt doen

Begin met een scope-check: val jij direct onder de wet, en welke van jouw leveranciers ook? Dat is de eerste stap. Vervolgens een gap-analyse: welke van de tien zorgplichtmaatregelen zijn al ingevoerd en welke nog niet? En als derde: zorg dat je incidentmeldingsprocedure op papier staat en getest is.

Compliant in NIS2 is een van de diensten waarbij Flowerbed engineering organisaties begeleidt, van scope-analyse tot technische implementatie en aantoonbare compliance. Samen met een Security Health Check bieden we organisaties een helder startpunt: wat staat er al, wat ontbreekt, en wat moet er op welke termijn worden geregeld.

De wet is er. De datum staat. Als gecertificeerd partner hebben we de kennis en expertise om dit voor jouw organisatie concreet te maken. Neem gerust contact op, want de klok tikt.