NIS2-ketenzorgplicht: wat is écht verplicht (en wat niet)

Q: Mijn organisatie valt niet onder NIS2. Moet ik dan toch iets doen?

Mogelijk wel. Lever je aan organisaties die er wel onder vallen, dan kunnen zij via hun ketenzorgplicht eisen dat je je basisveiligheid aantoonbaar op orde hebt.

Gepubliceerd op 16 juni 2026

Rond NIS2 circuleert veel halve waarheid. Dat er een "door de overheid verplichte, officiële tool" zou zijn. Dat je sinds een al verstreken datum compliant had moeten zijn. Dat één SaaS-abonnement je in één klap "NIS2-proof" maakt. Geen van die drie klopt — en juist omdat het niet klopt, nemen organisaties soms beslissingen op basis van angst in plaats van feiten.

Dit artikel zet het recht. Wat eist NIS2, en specifiek de ketenzorgplicht, nu werkelijk van je? Wat is de stand van de wet in Nederland? En waar past doorlopende monitoring in dat geheel — niet als wondermiddel, maar als verdedigbare bouwsteen?

In het kort

NIS2 verplicht geen enkele specifieke, met naam genoemde tool of "officiële SaaS". De wet eist passende en evenredige maatregelen. Hóe je die invult, mag je zelf bepalen.
De Nederlandse wet is nog niet in werking. De Cyberbeveiligingswet is aangenomen door de Tweede Kamer en ligt bij de Eerste Kamer; de overheid mikt op inwerkingtreding in het tweede kwartaal van 2026 (richtdatum rond 1 juli 2026), onder voorbehoud van afronding door de Eerste Kamer.
De ketenzorgplicht raakt veel meer organisaties dan je denkt — ook als je zelf niet rechtstreeks onder NIS2 valt, kun je via je klanten worden meegetrokken.
Compliance is een organisatiebreed pakket, geen knop die je omzet. Doorlopende kwetsbaarheidsmonitoring is daarvan één belangrijke, aantoonbare bouwsteen.

NIS2 en de Cyberbeveiligingswet: wat is wat

Het helpt om twee dingen uit elkaar te houden.

NIS2 is de Europese richtlijn (Network and Information Security Directive 2). Een richtlijn werkt niet rechtstreeks; elke lidstaat zet hem om in eigen wetgeving. Op EU-niveau geldt NIS2 sinds 17 oktober 2024, de datum waarop de oude NIS1-richtlijn verviel.

De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking daarvan. Die vervangt straks de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Nederland haalde de oorspronkelijke EU-deadline van oktober 2024 niet. Het wetsvoorstel is in 2025 ingediend, in april 2026 aangenomen door de Tweede Kamer en ligt nu bij de Eerste Kamer. De regering streeft naar gelijktijdige inwerkingtreding van de Cyberbeveiligingswet en de bijbehorende regelgeving in het tweede kwartaal van 2026.

Kort gezegd: de verplichtingen komen eraan en zijn inhoudelijk al concreet, maar de Nederlandse wet is op dit moment nog niet van kracht. Wie beweert dat een specifieke tool "al verplicht is", verkoopt geen feit maar urgentie.

Wat is de ketenzorgplicht precies?

Hier zit de kern waardoor NIS2 zoveel breder uitwaaiert dan veel organisaties verwachten.

Essentiële en belangrijke entiteiten die onder NIS2 vallen, moeten niet alleen hun eigen beveiliging op orde hebben — ze moeten ook de beveiliging van hun leveranciers en toeleveringsketen meewegen in hun risicobeheer. Dat is de ketenzorgplicht: het beheersen van risico's die via derden binnenkomen.

Het gevolg is een cascade. Val jij zelf niet rechtstreeks onder NIS2, maar lever je software, infrastructuur, data of diensten aan een organisatie die er wél onder valt? Dan zal die klant van jóu willen kunnen aantonen dat je je basisveiligheid op orde hebt. In de praktijk komt dat terug in contracteisen, leveranciersvragenlijsten en audits. Voldoe je niet, dan loop je reëel risico op verlies van het contract — niet omdat de toezichthouder bij jou aanklopt, maar omdat je klant zijn eigen zorgplicht moet kunnen onderbouwen.

Daarom raakt NIS2 indirect tienduizenden mkb-leveranciers die formeel buiten de directe scope vallen. Hoe dat in de praktijk uitpakt voor leveranciers, en wat je grote klant precies van je verwacht, lees je in NIS2-ketenzorgplicht voor leveranciers.

Wat NIS2 wél verplicht

Voor organisaties die binnen de scope vallen, draait het in essentie om een aantal plichten:

Zorgplicht (risicobeheer). Passende en evenredige technische, operationele en organisatorische maatregelen. Denk aan risicoanalyse, toegangsbeveiliging en MFA, incidentafhandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, en het omgaan met kwetsbaarheden.
Meldplicht. Significante incidenten melden binnen strakke termijnen: een vroege melding binnen 24 uur, een volledigere melding binnen 72 uur en een eindrapport binnen een maand.
Registratieplicht. Onder de wet vallende entiteiten moeten zich registreren bij de bevoegde instantie (in Nederland loopt dit via het NCSC).
Verantwoordelijkheid van bestuurders. Het bestuur moet de maatregelen goedkeuren en erop toezien, met een opleidingsverplichting en persoonlijke verantwoordelijkheid.

Belangrijk: de wet schrijft doelen voor, geen producten. Je bent vrij in de manier waarop je de maatregelen invult.

Wat NIS2 níét verplicht — de hardnekkige mythes

Mythe 1: "Er is een officiële, door de overheid verplichte tool of SaaS." Onjuist. NIS2 en de Cyberbeveiligingswet noemen geen enkel commercieel product als verplichte standaard. Je mag zelf kiezen hoe je de eisen invult: open source zelf hosten, een dienst afnemen, of een combinatie. Een aanbieder die zich presenteert als "het officiële platform van het ministerie" maakt een claim die de wet niet ondersteunt.

Mythe 2: "Het is al verplicht sinds [een vaste, vroege datum]." Onjuist. De Nederlandse wet is nog niet in werking; de richtdatum ligt in het tweede kwartaal van 2026, onder voorbehoud van de Eerste Kamer. Op EU-niveau geldt NIS2 al wel sinds 17 oktober 2024, maar dat is iets anders dan een binnenlandse tool-verplichting per een specifieke datum.

Mythe 3: "Eén tool maakt je compliant." Onjuist. Compliance is een organisatiebreed pakket — beleid, processen, techniek, bestuur en ketenafspraken. Geen enkel los product dekt dat geheel. Wie het zo verkoopt, verkoopt schijnzekerheid. Waarom zelfs een goede scan je niet compliant máákt — en wél onmisbaar is — leggen we uit in scannen is geen NIS2-compliance.

Mythe 4: "Certificaat X maakt je automatisch NIS2-compliant." Onjuist. Certificeringen en baselines kunnen hélpen om aan te tonen dat je maatregelen op orde zijn, maar ze zijn op zichzelf geen wettelijke sluitsteen. Let bovendien op verzonnen of niet-bestaande keurmerken — die komen voor.

Het patroon achter deze mythes is steeds hetzelfde: een echte verplichting wordt opgeblazen tot een kant-en-klaar product met een deadline. Het tegengif is simpel: vraag waar de claim precies op gebaseerd is.

Waar past doorlopende monitoring dan wél?

Als geen enkele tool je "compliant" maakt, waarom zou je dan in kwetsbaarheidsmonitoring investeren? Omdat het een van de meest concrete en aantoonbare invullingen is van het risicobeheer- en ketendeel van je zorgplicht.

De zorgplicht vraagt dat je kwetsbaarheden kent en beheerst. Dat kun je niet eenmalig afvinken; je aanvalsoppervlak verandert continu. Doorlopende monitoring laat zien dat je dit structureel doet — en dat is precies wat een auditor, een klant of een verzekeraar wil zien.

Het verschil zit in evidence. Niet alleen wéten dat er een kwetsbaarheid is, maar forensisch onderbouwd kunnen laten zien hóe en wannéer die is aangetroffen en opgevolgd. Die bewijslast is wat een zorgplicht "verdedigbaar" maakt in plaats van een papieren belofte. Krijg je zelf zo'n uitvraag van een klant, dan helpt een NIS2-leveranciersvragenlijst beantwoorden je om dat bewijs concreet op tafel te leggen.

Exposentry is daarvoor gebouwd: NL-soevereine, forensisch onderbouwde monitoring op basis van OpenKAT, voor je eigen domeinen én je leveranciersketen. Het is nadrukkelijk een noodzakelijke bouwsteen voor je vulnerability management en ketenzorgplicht — geen volledige compliancegarantie. Die eerlijkheid is bewust: alles wat zich als totaaloplossing presenteert, verdient juist extra argwaan.

Lees meer over onze aanpak van de NIS2-ketenzorgplicht.
Bekijk hoe leveranciersmonitoring werkt op Monitor mijn leveranciers.
Transparante tarieven vind je op Prijzen.
Liever meteen zien hoe je ervoor staat? Start een scan van je organisatie.

Praktisch: zo onderbouw je je ketenzorgplicht aantoonbaar

Bepaal je positie. Val je direct onder NIS2 (sector + doorgaans 50+ medewerkers), of indirect via klanten die er zelf onder vallen? Beide vragen actie, maar op een ander niveau.
Breng je aanvalsoppervlak in kaart. Welke domeinen, systemen en assets zijn van buitenaf zichtbaar? Je kunt niet beschermen wat je niet in beeld hebt — begin bij wat een aanvaller van je domein ziet.
Monitor doorlopend en leg evidence vast. Niet één scan, maar continu zicht — met vastlegging van wat is aangetroffen en wanneer.
Neem je keten mee. Monitor de basisveiligheid van leveranciers waar jij verantwoordelijkheid voor draagt, en maak afspraken die je kunt onderbouwen.
Documenteer en rapporteer. Vertaal technische resultaten naar heldere rapportages die je richting bestuur, auditor of klant kunt overleggen.

Veelgestelde vragen

Is NIS2 al verplicht in Nederland? De Europese NIS2-richtlijn geldt op EU-niveau sinds 17 oktober 2024. De Nederlandse Cyberbeveiligingswet, die de richtlijn omzet in nationale verplichtingen, is nog niet in werking: hij is aangenomen door de Tweede Kamer en ligt bij de Eerste Kamer, met een richtdatum voor inwerkingtreding in het tweede kwartaal van 2026.

Schrijft NIS2 een specifieke tool of SaaS voor? Nee. NIS2 en de Cyberbeveiligingswet eisen passende en evenredige maatregelen, maar noemen geen verplicht product. Je bepaalt zelf hoe je de eisen invult.

Mijn organisatie valt niet onder NIS2. Moet ik dan toch iets doen? Mogelijk wel. Lever je aan organisaties die er wél onder vallen, dan kunnen zij via hun ketenzorgplicht eisen dat je je basisveiligheid aantoonbaar op orde hebt. Niet voldoen kan een contract kosten.

Maakt één scan of één tool me compliant? Nee. Compliance is een organisatiebreed pakket van beleid, processen, techniek, bestuur en ketenafspraken. Doorlopende monitoring is daarvan een belangrijke, aantoonbare bouwsteen, geen totaaloplossing.

Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet? NIS2 is de Europese richtlijn; de Cyberbeveiligingswet is de Nederlandse wet die deze richtlijn implementeert. De Nederlandse wet kan op punten specifieker of strenger zijn dan de richtlijn.

Wanneer moet ik beginnen? Nu. De meeste organisaties hebben enkele maanden nodig om hun beveiliging en leveranciersbeheer op niveau te brengen. Wachten tot de wet in werking treedt, laat te weinig tijd over.

Geschreven door Edward Hasekamp, oprichter van Exposentry en core-maintainer van het open-source OpenKAT-project. Zie het project op GitHub en het profiel op github.com/hasecon. Exposentry levert NL-soevereine, forensisch onderbouwde vulnerability monitoring op basis van OpenKAT. Meer artikelen in de Kennisbank.