Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.
techoutlet.eu

Cyberbeveiligingswet: voorbereiding duurt langer dan resterende tijd

24 april 20263 minuten leestijdTechOutlet

Cyberbeveiligingswet: voorbereiding duurt langer dan resterende tijd
Op 15 april 2026 heeft de Tweede Kamer ingestemd met de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn. De Eerste Kamer behandelt het wetsvoorstel op 19 mei. Inwerkingtreding staat gepland voor het tweede kwartaal van 2026. Voor veel organisaties duurt de reële voorbereiding — van risicoanalyse tot leveranciersbeheer — langer dan de resterende tijd. Recente incidenten bij ChipSoft, Basic-Fit en

Cyberbeveiligingswet: voorbereiding duurt langer dan resterende tijd

Op 15 april 2026 heeft de Tweede Kamer ingestemd met de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn. De Eerste Kamer behandelt het wetsvoorstel op 19 mei. Inwerkingtreding staat gepland voor het tweede kwartaal van 2026. Voor veel organisaties duurt de reële voorbereiding — van risicoanalyse tot leveranciersbeheer — langer dan de resterende tijd. Recente incidenten bij ChipSoft, Basic-Fit en Booking.com maken pijnlijk duidelijk waarom die wet er komt. Niet de perimeter is het aanvalsoppervlak, maar de keten eromheen.

Drie pijlers, één ketenvraag

De wet vervangt de huidige Wbni en raakt duizenden Nederlandse organisaties — niet alleen de klassieke vitale sectoren, maar ook zorg, transport, digitale dienstverlening, afval en chemie. Zorgplicht vraagt om aantoonbare risicoanalyse en passende maatregelen. Meldplicht werkt gefaseerd: eerste waarschuwing binnen 24 uur, vervolgmelding binnen 72 uur, eindverslag binnen een maand. Registratie loopt via het NCSC-portaal.

Wat NIS2 fundamenteel anders maakt: cyberveiligheid wordt een bestuurstaak, met mogelijke persoonlijke aansprakelijkheid. En de keten valt expliciet onder de wet. Leveranciers van direct aangewezen entiteiten krijgen scherpere vragen in offertetrajecten — configuratiedocumentatie, incidentprocedures, patchdiscipline.

Recente incidenten maken het abstract minder abstract

Begin april ontdekte softwareleverancier ChipSoft afwijkingen in zijn systemen. Op 16 april bevestigde het bedrijf dat het om een ransomware-aanval ging en dat patiëntgegevens waren ontvreemd. Volgens NOS werkt zo’n 70 procent van de Nederlandse ziekenhuizen met de software. Eén incident, tientallen getroffen zorginstellingen.

Een week later kwamen andere sectoren aan de beurt. Basic-Fit bevestigde een datalek met circa 1 miljoen betrokken leden, waaronder 200.000 Nederlanders. Booking.com meldde kort daarna ongeautoriseerde toegang tot boekingsinformatie van een onbekend aantal klanten.

Zes vragen die vóór de zomer op tafel horen

  • Is MFA overal ingericht én phishing-resistent?
  • Worden back-ups getest en geverifieerd teruggezet?
  • Draaien systemen op actuele updates?
  • Herkennen medewerkers phishing in de praktijk?
  • Ligt er een Disaster Recovery Plan dat rekent op dagen in plaats van uren?
  • Is cybersecurity bij toeleveranciers aantoonbaar geborgd?

“De vragen uit de markt zijn concreter dan een jaar geleden,” zegt Michel Heinst, CEO van TechOutlet.eu. “Niet meer óf een klant MFA gebruikt, maar of die phishing-resistent is.”

Meer over NIS2 en beheerde zakelijke hardware: NIS2 cybersecurity zakelijke hardware.

Over TechOutlet.eu — B2B-leverancier van ICT-hardware van o.a. HP inc, Lenovo, Dell, Microsoft Surface voor Nederland, België, rest van EU sinds 2014.

Meer lezen

    Footer