De implementatie van de NIS2-richtlijn is in Nederland uitgesteld tot 2026, maar vergis je niet: de wet komt er en gaat niet meer weg. Organisaties hebben nu weliswaar iets meer tijd gekregen, maar juist die tijd moet worden benut om de – zoals cybersecurity-expert Henk Bijsterbosch het treffend noemt – “saaie shit” op orde te krijgen.
Met deze eerlijke woorden opende cybersecurity-expert Henk Bijsterbosch zijn presentatie over de NIS2-wetgeving tijdens ons recent event. Als manager van kennispartners bij Samen Digitaal Veilig en consultant op het gebied van cybersecuritywetgeving, weet Bijsterbosch als geen ander hoe cruciaal deze wetgeving is voor het Nederlandse bedrijfsleven.
Bijsterbosch vergelijkt cybersecurity met de fysieke wereld op een treffende manier: "We gaan op vakantie, doen de deuren op slot, kopen een politieslot voor onze verzekering. Wat doen we in de digitale wereld? Minder." Deze analogie illustreert perfect waarom er wetgeving nodig is - de vrijwillige adoptie van cybersecurity in Nederland is onvoldoende gebleken.
Na zeven jaar als commercieel directeur bij cybersecurity-bedrijven concludeert Bijsterbosch: "We zijn er met z'n allen niet in geslaagd om de hele BV Nederland aan de cyber te krijgen. Dus komt er een wet die dat gaat afdwingen."
Hoewel de formele invoering van de Nederlandse NIS2-wetgeving is uitgesteld tot de eerste helft van 2026, is het een misvatting dat dit extra tijd betekent om achterover te leunen. De verplichtingen blijven onvermijdelijk, en de ketenwerking zorgt ervoor dat veel bedrijven er al vóór 2026 mee geconfronteerd worden.
De NIS2-wetgeving (in Nederland: Cyberbeveiligingswet) richt zich op 18 kritieke sectoren, verdeeld in essentiële en belangrijke sectoren. Bedrijven vallen onder de wet als ze:
Dit betreft ongeveer 10.000 Nederlandse bedrijven en organisaties die direct NIS2-plichtig zijn.
Hier wordt het interessant voor alle andere bedrijven. Bijsterbosch legt uit hoe de toeleveringsketen werkt: "Die 10.000 NIS2-plichtige bedrijven gaan alle voorwaarden uit de wet verleggen naar hun supply chain. En die gaat het ook weer verleggen."
Het resultaat? Bestaande leverancierscontracten worden aangepast met NIS2-voorwaarden. Bedrijven die niet direct onder de wet vallen, worden er automatisch in "gezogen" omdat ze anders hun grote klanten verliezen.
De wet rust op vier belangrijke elementen:
Alle NIS2-plichtige bedrijven moeten zich registreren in het entiteitenregister van het NCSC.
Bij significante incidenten geldt een strikte tijdlijn:
Dit omvat negen interne maatregelen plus supply chain management. Een cruciaal punt: bestuurders en directieleden zijn persoonlijk aansprakelijk. Research vanuit Samen Digitaal Veilig toont aan dat ca. 80% van (internationale) CEO's van gehackte bedrijven hun baan verliest, ofwel de impact van een hack op een grote organisatie kan ook een enorme persoonlijke impact hebben
Zeven verschillende toezichthouders gaan controle uitoefenen, waarbij essentiële sectoren proactief jaarlijks worden bezocht.
Voor MKB-bedrijven in de toeleveringsketen zijn bestaande normen (ISO 27001, BIO, NEN 7510) vaak te zwaar en complex. Daarom is het NIS2 Quality Mark ontwikkeld door 101 brancheverenigingen:
Bijsterbosch waarschuwt voor de implementatietijd:
Door het uitstel tot 2026 is er formeel iets meer ruimte, maar die tijd wordt snel opgeslokt door de lange doorlooptijden van certificering, het tekort aan IT-professionals en het feit dat veel grote bedrijven wél al aan de slag zijn en eisen gaan stellen aan leveranciers.
De praktijk is dus: wie nú begint, is straks op tijd. Wie wacht, komt in de knel.
Met een tekort van 22.000 security IT-professionals in Nederland geldt: hoe later je start, hoe groter de kans dat je leveranciers niet voor jou beschikbaar zijn.
Voor bedrijven adviseert Bijsterbosch een multidisciplinaire aanpak:
Betrek deze afdelingen:
Het Samen Digitaal Veilig Platform biedt praktische hulp met:
Bijsterbosch's belangrijkste boodschap is helder: "Dit wordt een license to operate. Net zoals je soms voor (overheids)tenders ISO 27001 (of BIO) nodig hebt, gaat dit ook in deze wereld spelen."
De keuze is simpel: investeer nu tijd en moeite in NIS2-compliance, of loop het risico je grootste klanten te verliezen. Want zoals Bijsterbosch stelt: "Het kost tijd en moeite. Als je niet bereid bent om tijd en moeite erin te steken, dan moet je niet beginnen, maar wel de mogelijke consequenties accepteren"
De deadline mag dan zijn verschoven naar 2026, maar de realiteit verandert niet: NIS2 wordt een harde randvoorwaarde voor zakendoen. De extra tijd is geen excuus, maar een kans. Gebruik het om voorbereid te zijn – want op het moment dat je het nodig hebt, is het te laat om nog te beginnen.
NIS2 is misschien "saaie shit", maar het is essentieel voor business continuïteit. De wet komt eraan, de toezichthouders zijn voorbereid, en de supply chain-effecten zijn onontkoombaar.
De vraag is niet óf je ermee aan de slag moet, maar wanneer. En volgens expert Henk Bijsterbosch is het antwoord simpel: morgen, het kost simpelweg best veel tijd.