Terug naar kennisbank

Cyberbeveiligingswet definitief: NIS2 geldt in Nederland vanaf 15 augustus 2026

Gepubliceerd op 7 juli 2026

Het is definitief. De Eerste Kamer heeft op 7 juli 2026 de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen, en het kabinet heeft de inwerkingtreding vastgesteld op 15 augustus 2026. Daarmee is de periode van richtdatums en voorbehouden voorbij: NIS2 wordt in Nederland afdwingbaar recht, met een harde datum over ruim vijf weken.

Wat treedt er precies in werking?

Twee wetten tegelijk:

Voor de meeste organisaties, en zeker voor hun leveranciers, is de Cyberbeveiligingswet de wet die er in de praktijk toe doet.

Welke verplichtingen gelden vanaf 15 augustus?

Vanaf de inwerkingtreding gelden voor organisaties onder de Cyberbeveiligingswet:

Een overgangstermijn is niet aangekondigd. De verplichtingen gelden per 15 augustus 2026 volledig.

Wat betekent dit voor leveranciers?

Hier zit voor veel mkb-bedrijven het echte nieuws. De zorgplicht omvat expliciet de toeleveringsketen: de 8.000 organisaties onder de wet moeten kunnen aantonen dat ze de risico's van hun leveranciers beheersen. Dat vertaalt zich in leveranciersvragenlijsten, contracteisen en audits.

Lever je software, hosting, data of diensten aan een organisatie die onder de wet valt, dan krijg je die uitvraag vroeg of laat op je bord, ook al val je zelf formeel buiten de scope. Wat er dan van je wordt verwacht, lees je in NIS2-ketenzorgplicht: wat is écht verplicht en, specifiek voor leveranciers, in NIS2-ketenzorgplicht voor leveranciers. Krijg je nu al vragenlijsten binnen, dan helpt een NIS2-leveranciersvragenlijst beantwoorden.

Wat de wet níét doet

Ook met een harde datum blijft gelden wat we eerder schreven: de wet verplicht geen enkele specifieke tool of SaaS. Wie de inwerkingtreding aangrijpt om een product als "wettelijk verplicht" te verkopen, verkoopt urgentie in plaats van feiten. De wet eist doelen: risico's kennen, maatregelen nemen, incidenten melden en dat alles kunnen aantonen. Hoe je dat invult, bepaal je zelf. Waarom zelfs een goede scan je niet compliant maakt, leggen we uit in scannen is geen NIS2-compliance.

Vijf dingen om vóór 15 augustus te regelen

  1. Bepaal je positie. Val je direct onder de wet (sector plus omvang), of indirect via klanten die eronder vallen? De Rijksoverheid biedt een regelhulp; het NCSC publiceert de sectorenlijst.
  2. Registreer. Val je onder de wet, meld je organisatie dan aan in het entiteitenregister via mijn.ncsc.nl. De overheid noemt dit expliciet als eerste prioriteit.
  3. Breng je aanvalsoppervlak in kaart. Je kunt geen risico's beheersen die je niet ziet. Begin bij wat een aanvaller van je domein ziet.
  4. Neem je keten mee. Inventariseer kritieke leveranciers en leg vast welke basiseisen je aan ze stelt. Hoe je dat monitort, zie je op Monitor mijn leveranciers.
  5. Maak het aantoonbaar. Zorg dat je kunt laten zien wat je hebt aangetroffen, wanneer, en wat ermee is gebeurd. Die evidence is wat een toezichthouder, auditor of klant wil zien.

Exposentry helpt bij stap 3 tot en met 5: doorlopende, forensisch onderbouwde monitoring van je eigen domeinen en je leveranciersketen, op basis van OpenKAT. Geen compliancegarantie, wel een aantoonbare bouwsteen voor je zorgplicht. Zien waar je staat kan vandaag al: start een scan van je organisatie.

Bron

Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.