Het is definitief: na de Tweede Kamer (15 april 2026) heeft ook de Eerste Kamer de Cyberbeveiligingswet aangenomen, op 7 juli 2026. Daarmee is de parlementaire behandeling afgerond en treedt de Nederlandse implementatie van de Europese NIS2-richtlijn op 15 augustus 2026 in werking. Vanaf die datum gelden de registratieplicht, de zorgplicht en de meldplicht.
Wat verandert er op 15 augustus 2026?
De wet zelf kent geen lange overgangsperiode voor de kernverplichtingen: wie onder de wet valt, moet vanaf de inwerkingtreding aan de zorgplicht voldoen en incidenten volgens de wettelijke termijnen melden. Toezicht en registratie worden daarna verder ingericht, maar daarop wachten is riskant — de verplichtingen gelden intussen gewoon.
De checklist: vijf zaken om nu te regelen
- 1. Bepaal of u onder de wet valt
- Toets uw organisatie aan de sectoren en omvangscriteria: bent u een essentiële of belangrijke entiteit? Ook wie er formeel buiten valt, krijgt de eisen vaak via klanten of de keten opgelegd.
- 2. Doe de zelfevaluatie op de tien zorgplichtgebieden
- Artikel 21 van NIS2 schrijft tien maatregelgebieden voor, van risicobeleid en incidentbehandeling tot ketenbeveiliging en cryptografie. Breng per gebied in kaart wat er staat en wat ontbreekt.
- 3. Richt het meldproces in
- Bij een significant incident geldt een getrapte meldplicht: vroegtijdige waarschuwing binnen 24 uur, incidentmelding binnen 72 uur en een eindverslag binnen één maand. Beleg wie meldt, via welk kanaal, en maak sjablonen vooraf klaar.
- 4. Betrek het bestuur aantoonbaar
- De leiding keurt het beveiligingsbeleid goed, blijft verantwoordelijk en traint mee. Leg die betrokkenheid vast — dat is precies wat een toezichthouder als eerste wil zien.
- 5. Maak het aantoonbaar
- De zorgplicht is risicogebaseerd: u moet kunnen láten zien dat uw maatregelen passen bij uw risico’s. Een bijgehouden zelfevaluatie met onderbouwing, taken en bewijs is uw dossier richting bestuur en toezichthouder.
Hergebruik wat er al ligt
Organisaties die al met ISO 27001 of de BIO werken, hoeven niet opnieuw te beginnen: een groot deel van de zorgplichtgebieden wordt door bestaande maatregelen afgedekt. Breng de overlap in kaart en organiseer alleen de aanvulling — met name bestuursverantwoordelijkheid, ketenbeveiliging en het meldproces.
Vijf weken is genoeg voor een start
Een volledige implementatie vergt langer, maar de zelfevaluatie, het meldproces en de bestuurlijke vaststelling zijn vóór 15 augustus haalbaar. Daarmee laat u zien dat u de wet serieus neemt — ook als nog niet alles af is.