Aan de vooravond van 2026 is cybersecurity een onmisbare prioriteit voor organisaties, ongeacht sector of schaalgrootte. De opkomst van nieuwe digitale bedreigingen, het gebruik van kunstmatige intelligentie voor zowel aanvallen als bescherming, en het steeds omvangrijkere Europese regelgevingslandschap vereisen dat organisaties hun digitale weerbaarheid grondig en duurzaam versterken. Daarbij ligt de focus niet uitsluitend op technologische oplossingen; juist op het vlak van organisatie, naleving van wetgeving en contractuele afspraken worden strengere eisen gesteld door zowel wetgevers als de maatschappij. Dit betekent dat de verantwoordelijkheid voor cybersecurity steeds meer bij bedrijfsjuristen terechtkomt.
Nog in het vorige decennium lanceerde de Europese Commissie haar digitale strategie onder het motto ‘A Europe fit for the Digital Age’. Met deze strategie werd onder meer een omvangrijk pakket aan wet- en regelgeving uitgedacht om de digitale weerbaarheid van Europa te versterken. Dit pakket omvat onder meer NIS2, DORA, CRA, AI Act en de Data Act. Samen vormen deze wetten een geïntegreerd en onderling verbonden raamwerk dat de Europese digitale ruimte veiliger, betrouwbaarder en toekomstbestendig moet maken. Waar eerdere regelgeving vaak meer reactief van aard was, richt het nieuwe beleid zich nadrukkelijk op preventie, transparantie en samenwerking tussen publieke en private actoren. In december 2025 heeft de Europese Commissie daar nog een extra aanzet toe gemaakt middels het voorstel voor een Digitale Omnibusverordening.
Binnen dit geheel neemt NIS2 een sleutelpositie in. [1] NIS2 wordt momenteel geïmplementeerd in nationale wetgeving. In Nederland wordt dit vormgegeven door de Cyberbeveiligingswet (Cbw), waarvoor het voorstel in de zomer van 2025 aan de Tweede Kamer is gestuurd. De Cbw zal diverse onderliggende wet- en regelgeving kennen, onder andere in het Cyberbeveiligingsbesluit (Cbb) met uitwerking van de zorgplicht, registratieplicht en opleidingsplicht voor bestuurders, alsmede ministeriele regelingen. Naar huidige verwachting zal de Cbw in het tweede kwartaal van 2026 in werking treden, waarmee zij Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen.
Hoewel de verplichtingen die zijn neergelegd in NIS2 pas formeel gaan gelden als de Cbw van kracht is, doen organisaties er goed aan om nu al in actie te komen. De komende periode zal immers in het teken staan van voorbereiding en implementatie. De wet introduceert een aantal concrete verplichtingen, zoals het uitvoeren van risicoanalyses, het herzien van governance-structuren en het contractueel vastleggen van verantwoordelijkheden richting leveranciers en klanten.
Daarnaast kunnen verschillende sectoren te maken krijgen met aanvullende, sectorspecifieke eisen, afhankelijk van de aard van hun dienstverlening en de mate van maatschappelijke impact. Organisaties die in meerdere sectoren actief zijn of onderdeel uitmaken van een internationale groep, kunnen daardoor meerdere kaders aan verplichtingen te maken krijgen.
Een belangrijk onderdeel van NIS2 is de afbakening van het toepassingsbereik en de daarin geldende verplichtingen. De richtlijn maakt, afhankelijk van de sector (Bijlage I of II) en de omvang van de organisatie, een onderscheid tussen essentiële en belangrijke entiteiten. Dit onderscheid komt in de praktijk voornamelijk tot uiting in het toezichtregime, dat voor essentiële entiteiten omvangrijker is dan voor belangrijke entiteiten. Voor entiteiten die actief zijn in specifieke digitale sectoren worden de zorgplicht en meldplicht nader geconcretiseerd in de Uitvoeringsverordening (EUR) 2024/2690.
Het is voor bedrijfsjuristen cruciaal om te starten bij het bepalen onder welke sector(en) hun organisatie valt. Een entiteit of een groep entiteiten kan immers verschillende diensten leveren en daardoor onder meerdere regimes tegelijk vallen. Het is daarbij belangrijk om objectief naar de dienst te kijken en niet uit te gaan van de sector waarin de organisatie beoogt te vallen. Bepalend zijn de feitelijke activiteiten.
Complexe bedrijfsmodellen
Bij groepsentiteiten kan deze oefening redelijk complex worden, zeker wanneer vervolgens de jurisdictie bepaald moet worden. NIS2 kent als hoofdregel dat een entiteit valt onder de jurisdictie van de lidstaat waar die gevestigd is. Deze hoofdregel kent echter een uitzondering indien er sprake is van – kort gezegd – een digitale dienstverlener. Deze vallen onder de jurisdictie van hun hoofdvestiging. Voor het bepalen van de hoofdvestiging kent NIS2 een stappenplan om op de juiste entiteit uit te komen. Gelet op de complexiteit die dit in de praktijk met zich mee kan brengen heeft de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) een ‘Handreiking complexe bedrijfsmodellen’ opgesteld om organisaties te ondersteunen in deze beoordeling.
Zorgplicht in de keten
De verplichtingen die voortvloeien uit NIS2 zijn niet enkel van toepassing op de aangewezen essentiële en belangrijke entiteiten; ze hebben ook invloed op de bredere keten van leveranciers, dienstverleners en klanten van deze organisaties. Door de zogeheten ketenzorgplicht—de verplichting om beveiligingsmaatregelen contractueel door te geven—worden deze partijen eveneens indirect verplicht om passende beveiligingsmaatregelen te nemen en heldere afspraken te maken over informatiebeveiliging, auditmogelijkheden, het melden van incidenten en de integriteit van data. Dit betekent dat bestaande contracten moeten worden herzien en dat er nauwere samenwerking nodig is tussen alle betrokken partijen. Iedere partij binnen de keten moet zijn eigen rol vaststellen, de relevante risico’s identificeren en tijdig inspelen op toekomstige verplichtingen.
De zorgplicht is het hart van NIS2 en verplicht organisaties in essentie om beveiligingsmaatregelen op orde te hebben. Deze beveiligingsmaatregelen bestaan uit passende en proportionele technische, operationele en organisatorische maatregelen om de beveiligingsrisico’s van hun netwerk- en informatiesystemen te beheersen. Het doel hiervan is niet alleen om incidenten te voorkomen, maar ook om de gevolgen voor afnemers en andere betrokkenen zoveel mogelijk te beperken als een incident zich toch voordoet.
Deze verplichtingen omvatten onder meer het opstellen van beleid voor risicoanalyse en informatiesysteembeveiliging, het inrichten van procedures voor het afhandelen van incidenten en het nemen van maatregelen om de beveiliging van de toeleveringsketen te waarborgen. In nadere regelgeving wordt uitgewerkt aan welke concrete eisen deze maatregelen moeten voldoen, zodat organisaties voldoende houvast hebben om hun verantwoordelijkheid waar te maken.
Om vast te stellen of een maatregel passend is, moet de entiteit kunnen onderbouwen dat deze maatregel daadwerkelijk bijdraagt aan het beheersen van de voor haar relevante risico’s. Daarbij wordt gekeken naar de effectiviteit en de evenredigheid van de maatregel. Effectiviteit ziet op de geschiktheid van de maatregel om het betreffende risico te beheersen. Dit kan worden afgeleid uit Europese standaarden, de stand van de techniek en de resultaten van de door de entiteit uitgevoerde risicoanalyse. Evenredigheid heeft betrekking op de verhouding tussen de maatregel en de aard en ernst van het risico, de kans op incidenten en de mogelijke maatschappelijke en economische gevolgen daarvan. Ook de omvang van de entiteit en eventuele nadelige effecten van de maatregel – zoals verstoring van kritieke processen – spelen hierbij een rol.
Een belangrijke vernieuwing is een bevoegdheid van vakministers opgenomen in de Cbb om het gebruik van bepaalde leveranciers of technologieën te verbieden. Als deze bevoegdheid inderdaad in de aangenomen wetgeving behouden blijft, moeten organisaties hierop voorbereid zijn. Dit kan onder meer door contractueel te voorzien in substitutie- en exitclausules, zodat bij een dergelijk verbod tijdig en gecontroleerd kan worden overgestapt.
Tenslotte wordt cybersecurity nadrukkelijk een bestuurlijke verantwoordelijkheid: het bestuur moet risicobeheersmaatregelen goedkeuren, toezicht houden op de uitvoering en beschikken over voldoende kennis en deskundigheid, middels aantoonbare opleiding en training.
Waar de zorgplicht ziet op het voorkomen en beperken van risico’s, verplicht NIS2 organisaties daarnaast om significante incidenten die zich desondanks voordoen te melden. Dit moet tijdig gebeuren, zowel bij het Computer Security Incident Response Team (CSIRT) als aan de bevoegde toezichthoudende voor de betreffende sector.
Voor Nederland is het Nationaal Cyber Security Centrum (NCSC) in beginsel het CSIRT. Afhankelijk van de sector kan echter een ander CSIRT worden aangewezen. Zo bestaan er gespecialiseerde teams zoals Z-CERT voor de zorgsector, de IBD voor gemeenten en CERT-Watermanagement voor de waterschappen.
NIS2 beschrijft slechts in algemene bewoordingen wanneer sprake is van een significant incident. Volgens deze definitie is daarvan sprake wanneer een incident kan leiden tot (i) een ernstige verstoring van de dienstverlening, (ii) aanzienlijke financiële verliezen voor de betrokken entiteit, of (iii) het treffen van andere personen (natuurlijk of rechtspersonen) door substantiële materiële of immateriële schade te veroorzaken. Hieronder vallen ook incidenten waarvan de gevolgen nog niet zichtbaar zijn, maar wel kunnen optreden en daarom alsnog moeten worden gemeld.
Sectorspecifiek kan verder uitgewerkt worden wanneer er sprake is van een significant incident. In de Uitvoeringsverordening wordt een incident bijvoorbeeld als significant beschouwd wanneer bedrijfsgeheimen uitlekken of het risico daarop bestaat, of wanneer er sprake is van een succesvolle, vermoedelijk kwaadwillige en ongeoorloofde toegang tot netwerk- en informatiesystemen die tot ernstige operationele verstoringen kan leiden. De sectorale criteria moeten ten minste elke vier jaar worden geëvalueerd. Er geldt voorts een korte meldtermijn voor dan veel organisaties gewend zijn, namelijk binnen 24 uur na kennisname van het significante incident. Vervolgens geldt een strikt proces met vaste termijnen en eisen aan de informatievoorziening. Nederland gaat hierbij in sommige gevallen zelfs verder dan NIS2 voorschrijft. Organisaties met entiteiten in meerdere landen dienen er dus op bedacht te zijn dat de eisen aan de melding per jurisdictie kunnen verschillen.
Voor bedrijfsjuristen betekent dit dat incident-playbooks, besluitvormingsprocedures en communicatierichtlijnen mogelijk moeten worden aangepast aan de nieuwe Nederlandse eisen en eventueel aan eisen in andere jurisdicties. Een goede voorbereiding is essentieel; binnen de korte tijdslijn voor melding wil je niet eerst nog de eisen per jurisdictie moeten vaststellen.
Naast de melding aan het CSIRT en de toezichthoudende instantie rust op entiteiten bovendien de verplichting om afnemers van diensten te informeren over significante incidenten die nadelige gevolgen kunnen hebben voor de dienstverlening.
NIS2 vraagt van bedrijfsjuristen een proactieve houding: door nu risico’s te inventariseren, contracten aan te scherpen en interne besluitvormingsprocessen te optimaliseren, vergroten zij de digitale weerbaarheid van hun organisatie en minimaliseren zij de impact van incidenten. Alleen door wetgeving, beleid en praktijk te verbinden ontstaat een toekomstbestendige cybersecurity-aanpak waarbij bedrijfsjuristen een onmisbare rol vervullen in het beschermen van kritieke processen en het voldoen aan strengere rapportage- en meldverplichtingen. Wacht niet af, maar neem het initiatief en maak uw organisatie klaar voor de nieuwe uitdagingen die cyberwetgeving met zich meebrengt.
