Cyberbeveiligingswet aangenomen: bestuurders direct verantwoordelijk
De Tweede Kamer stemde op 15 april 2026 in met de Cyberbeveiligingswet. De wet gaat nu naar de Eerste Kamer en de kans op goedkeuring is groot. Reken daarom op inwerkingtreding per 1 juli. Organisaties hebben nog maar beperkt de tijd om zich voor te bereiden. Tegelijk maakt NIS2 één ding duidelijk: de verantwoordelijkheid ligt nadrukkelijk bij het bestuur.
De ruimte voor uitstel of aanpassing is praktisch verdwenen. Met de instemming van de Tweede Kamer volgt de wet nu het formele traject richting invoering op 1 juli 2026. Afwachten is daarmee geen realistische strategie meer. Integendeel: het vergroot de risico’s en verkleint de kans dat je organisatie op tijd klaar is.
Wat betekent dit voor jouw organisatie?
Val je onder de wet? Dan moet je per 1 juli 2026 aantoonbaar maatregelen nemen voor risicobeheer, incidentmelding en leveranciersbeveiliging. Dat vraagt om een samenhangende aanpak en voorbereiding.
Val je niet direct onder de wet, maar lever je aan grote organisaties? Dan krijg je vrijwel zeker met strengere eisen te maken. Aantoonbaar bewijs van cybersecurity wordt steeds vaker verplicht. Denk aan NIS2 Supply Chain-certificering. Zonder dit bewijs kun je opdrachten verliezen.
Bestuurdersaansprakelijkheid: dit verandert er
NIS2 is geen IT-aangelegenheid die je kunt delegeren. De Cyberbeveiligingswet legt de verantwoordelijkheid expliciet bij het bestuur. Dat betekent dat je maatregelen goedkeurt, toezicht houdt en aanspreekbaar bent op tekortkomingen. Bij aantoonbare nalatigheid kunnen toezichthouders ingrijpen. Bestuurders zijn hoofdelijk aansprakelijk. Daarmee wordt cybersecurity een direct onderdeel van goed bestuur.
In veel organisaties ligt cybersecurity nog primair bij IT. De directie vertrouwt op technische oplossingen, maar mist het totaaloverzicht. Er kan niet worden aangetoond dat er bewust is gestuurd op risico’s en afwegingen. Precies dit gebrek aan regie is waar toezichthouders op letten. NIS2 vraagt niet dat je zelf technische maatregelen uitvoert. Maar wel dat je aantoonbaar de leiding neemt en keuzes maakt.
Wat vraagt NIS2 aan bestuurders?
De kern is dat je aantoonbaar in control bent. Dat begint bij het volgen van een verplichte NIS2-opleiding (uiterlijk 1 juli 2028). Ook het vaststellen van duidelijke kaders voor cybersecurity en leveranciers hoort hierbij.
Daarnaast wijs je een verantwoordelijke aan voor het supply chain-dossier. Ook zorg je dat IT, inkoop en HR samenwerken. Leg keuzes en afwegingen vast, zodat je kunt aantonen dat risico’s bewust zijn beoordeeld. Voor leveranciers geldt dat je risico’s analyseert en proportionele maatregelen neemt.
NIS2 raakt namelijk meerdere functies tegelijk: directie, IT, inkoop en HR. Alleen als deze disciplines samenwerken binnen duidelijke kaders, kun je aantonen dat je risico’s daadwerkelijk beheerst en onder controle hebt.
Met 1 juli 2026 in zicht is dit het moment om in actie te komen. Start nu. Zo verklein je risico’s en voorkomt aansprakelijkheid. En je behoudt het vertrouwen van klanten en partners.
In het NIS2 Dossier lees je wat NIS2 concreet vraagt van directie, inkoop, IT en HR en hoe je dit praktisch organiseert binnen je supply chain.
Dit artikel is tot stand gekomen in samenwerking met Samen Digitaal Veilig.
Zelf cybermaatregelen treffen of fraude melden?
Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.
- Heb jij een MKB-bedrijf en wil je je cyberrisico's verlagen? Bekijk dan Cyber Fundament, speciaal voor MKB-ondernemers.
- Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker speciaal voor grootzakelijk en verlaag jouw cyberrisico's.
- Wil je ook veilig ondernemen? Bekijk slimme tools, handige artikelen en cyberwebinars.
- Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.
