Directeur in maatpak bestudeert beveiligingscompliancedocument aan glazen vergadertafel met laptop en hangslot, modern Nederlands kantoor.

Wat moet een bestuurder weten over NIS2 in 2026?

/in /door

Als bestuurder in 2026 moet je weten dat NIS2 geen IT-aangelegenheid meer is, maar een bestuurlijke verantwoordelijkheid. De Cyberbeveiligingswet (CBW), de Nederlandse vertaling van de Europese NIS2-richtlijn, treedt naar verwachting in het tweede kwartaal van 2026 in werking en maakt jou als bestuurder persoonlijk aansprakelijk voor de naleving van cybersecurityverplichtingen binnen je organisatie. In dit artikel beantwoorden we de meest gestelde vragen over NIS2 voor bestuurders, van scope en verplichtingen tot boetes en praktische stappen.

Welke organisaties vallen onder NIS2 in 2026?

NIS2 geldt in 2026 voor een aanzienlijk bredere groep organisaties dan de vorige richtlijn. De wet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten, afhankelijk van de sector en de omvang van de organisatie. Middelgrote en grote organisaties in aangewezen sectoren vallen automatisch in scope.

De sectoren die onder NIS2 vallen, zijn onder meer:

  • Energie en drinkwater
  • Gezondheidszorg en farmacie
  • Transport en logistiek
  • ICT-dienstverlening en managed service providers
  • Digitale infrastructuur en clouddiensten
  • Financiële dienstverlening en accountancy
  • Productie en maakindustrie
  • Overheid en overheidsnabije instellingen
  • Food en agri

Belangrijk is dat ook organisaties die niet formeel onder NIS2 vallen, toch te maken kunnen krijgen met de eisen. Als je diensten levert aan partijen die wel in scope zijn, kunnen zij van jou verlangen dat je aantoonbaar voldoet aan bepaalde beveiligingsnormen. Ketenbeveiliging is een expliciet onderdeel van de NIS2-verplichting. Twijfel je of jouw organisatie in scope valt? Dan is het verstandig dit zo snel mogelijk te laten toetsen.

Wat zijn de concrete verplichtingen voor bestuurders onder NIS2?

Onder NIS2 zijn bestuurders persoonlijk verantwoordelijk voor de cybersecuritymaatregelen binnen hun organisatie. Dit betekent dat je als bestuurder niet alleen moet zorgen dat de juiste maatregelen worden genomen, maar ook dat je aantoonbaar over de kennis beschikt om die verantwoordelijkheid te dragen.

De concrete verplichtingen voor bestuurders omvatten:

  • Zorgplicht: je moet passende technische en organisatorische maatregelen treffen om risico’s te beheersen
  • Risicoanalyse: er moet een actuele risicoanalyse beschikbaar zijn
  • Incidentmelding: beveiligingsincidenten moeten tijdig worden gemeld bij de bevoegde autoriteiten
  • Ketenbeveiliging: je bent verantwoordelijk voor de beveiliging van de keten, inclusief leveranciers
  • Aantoonbare kennis: bestuurders moeten via training aantoonbaar beschikken over actuele kennis van cyberbeveiliging
  • Incident response plan: er moet een werkend plan zijn voor het geval van een beveiligingsincident

De opleidingsplicht is een punt dat veel bestuurders verrast. Het gaat niet om “iets weten van IT”, maar om aantoonbare en actuele kennis die periodiek wordt bijgehouden. Zonder training is deze kennis niet aantoonbaar en voldoet je organisatie niet aan de wet. Meer weten over hoe security binnen Microsoft 365 kan bijdragen aan je zorgplicht? Dat is een goed vertrekpunt voor veel organisaties die al in het Microsoft-ecosysteem werken.

Wat is het verschil tussen NIS1 en NIS2?

NIS2 is een fundamentele uitbreiding van de oorspronkelijke NIS1-richtlijn uit 2016. Het grootste verschil is de reikwijdte: waar NIS1 slechts een beperkt aantal sectoren en aanbieders trof, geldt NIS2 voor een veel grotere groep organisaties met aanzienlijk strengere eisen.

De belangrijkste verschillen op een rij:

  • Bredere scope: NIS2 omvat meer sectoren en ook middelgrote organisaties, waar NIS1 zich beperkte tot grote aanbieders van essentiële diensten
  • Persoonlijke aansprakelijkheid: NIS2 introduceert expliciete bestuurlijke aansprakelijkheid; bij NIS1 lag de verantwoordelijkheid meer op organisatieniveau
  • Strengere meldplicht: incidenten moeten binnen 24 uur worden gemeld bij de autoriteiten, met een volledig rapport binnen 72 uur
  • Ketenverantwoordelijkheid: NIS2 verplicht organisaties actief te sturen op de beveiliging van hun leveranciersketen
  • Hogere boetes: de maximale boetes zijn fors verhoogd ten opzichte van NIS1
  • Opleidingsplicht: de verplichting voor bestuurderstraining is nieuw en expliciet vastgelegd in het Cyberbeveiligingsbesluit

Kortom: NIS2 is geen update van NIS1, maar een serieuze verzwaring die de lat voor bestuurlijke betrokkenheid bij cybersecurity structureel hoger legt.

Hoe zwaar zijn de boetes bij niet-naleving van NIS2?

De boetes bij niet-naleving van NIS2 zijn aanzienlijk en maken de wet tot een serieus risico voor bestuurders. Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Maar financiële sancties zijn niet het enige risico. De wet voorziet ook in de mogelijkheid om bestuurders tijdelijk te diskwalificeren als zij aantoonbaar nalatig zijn geweest. Dit maakt NIS2 uniek: de persoonlijke aansprakelijkheid gaat verder dan een boete voor de organisatie. Als bestuurder kun je individueel worden aangesproken als blijkt dat je de verplichtingen niet serieus hebt genomen.

Daarnaast zijn er reputatierisico’s die moeilijker in geld zijn uit te drukken. Een meldplichtincident dat publiek wordt, kan het vertrouwen van klanten, partners en toezichthouders ernstig schaden. Voor organisaties die werken in sectoren met gevoelige data of kritieke processen, is dat soms een groter risico dan de boete zelf.

Welke stappen moet een organisatie nu zetten voor NIS2-compliance?

Voor NIS2-compliance in 2026 moet een organisatie een gestructureerd traject doorlopen dat begint met inzicht in de eigen situatie en eindigt met aantoonbare naleving. De kern is: weet waar je staat, weet wat je mist, en zorg dat je het kunt bewijzen.

De stappen die je nu moet zetten:

  1. Bepaal of je in scope valt door te toetsen of je sector en omvang onder de essentiële of belangrijke entiteiten vallen
  2. Voer een nulmeting uit om te zien waar je huidige beveiligingsniveau staat ten opzichte van de NIS2-eisen
  3. Stel een risicoanalyse op die actueel, gedocumenteerd en bestuurlijk goedgekeurd is
  4. Ontwikkel een incident response plan inclusief heldere communicatielijnen en meldprocedures
  5. Zorg voor bestuurderstraining die aantoonbaar maakt dat het bestuur over de vereiste kennis beschikt
  6. Breng de leveranciersketen in kaart en stel eisen aan de beveiliging van kritieke leveranciers
  7. Implementeer technische maatregelen zoals meervoudige authenticatie, encryptie en monitoring
  8. Borg continuïteit door processen en maatregelen periodiek te evalueren en bij te sturen

Veel organisaties beginnen met stap één en ontdekken dan dat ze al verder zijn dan gedacht, of juist dat er meer te doen is dan verwacht. Een eerlijke nulmeting is daarom altijd het beste vertrekpunt.

Wanneer is een externe IT-partner verplicht of verstandig bij NIS2?

Een externe IT-partner is bij NIS2 niet wettelijk verplicht, maar voor de meeste middelgrote organisaties wel verstandig. De reden is eenvoudig: NIS2 stelt eisen aan technische maatregelen, documentatie, monitoring en incidentrespons die een intern IT-team zonder gespecialiseerde kennis vaak niet volledig kan invullen.

Een externe partner is in elk geval verstandig wanneer:

  • Je organisatie geen eigen CISO of security-specialist in dienst heeft
  • Je behoefte hebt aan aantoonbare naleving, maar de interne capaciteit ontbreekt om dit te documenteren
  • Je werkt met gevoelige data of kritieke processen waarbij een incident direct grote impact heeft
  • Je leveranciers of opdrachtgevers eisen dat je cybersecuritynormen aantoonbaar naleeft
  • Je een geïntegreerde aanpak wilt van advies, implementatie én doorlopend beheer

Een goede externe partner ontzorgt niet alleen technisch, maar denkt ook strategisch mee. Dat betekent dat je als bestuurder een helder aanspreekpunt hebt dat proactief signaleert, rapporteert in begrijpelijke taal en je helpt verantwoording af te leggen richting toezichthouders of een raad van commissarissen. Dat is precies de rol die een betrouwbare IT-partner in het NIS2-tijdperk hoort te vervullen.

Hoe Puur ICT helpt met NIS2-compliance

Wij begrijpen dat NIS2 voor veel bestuurders een complex en soms overweldigend onderwerp is. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij organisaties stap voor stap naar aantoonbare naleving, zonder dat je zelf alle technische details hoeft te doorgronden.

Wat wij concreet voor je doen:

  • Nulmeting (Digicheck): we brengen je huidige beveiligingssituatie in kaart en identificeren waar de risico’s zitten
  • Bestuurderstraining: een tweedaagse training die aantoonbaar maakt dat jij als bestuurder voldoet aan de opleidingsplicht uit het Cyberbeveiligingsbesluit
  • Technische implementatie: we adviseren en implementeren de juiste maatregelen binnen het Microsoft-ecosysteem, van beveiliging in Microsoft 365 tot ketenbeveiliging
  • Doorlopend beheer en rapportage: we monitoren, rapporteren en signaleren proactief, zodat jij altijd weet waar je staat
  • Phishingcampagnes en awareness: we versterken de digitale weerbaarheid van je hele organisatie, niet alleen het bestuur
  • Persoonlijk aanspreekpunt: korte lijnen, begrijpelijke taal en een partner die begrijpt wat er op het spel staat

Wil je weten of jouw organisatie in scope valt en wat de eerste stappen zijn? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We helpen je graag op weg, in begrijpelijke taal en zonder onnodige complexiteit.

Gerelateerde artikelen

Gerelateerde artikelen

Misschien ook iets voor u
Weelderige groene plant met vertakte stengels groeiend uit een open laptoptoetsenbord op een wit modern bureau in natuurlijk daglicht.Hoe zorg je dat je digitale werkomgeving meegroeit met de manier waarop je organisatie verandert?
Gehandschoende handen die een beschadigd serverrek herstellen in een modern datacenter met blauw en amber licht.Wat is een goede strategie om je organisatie snel te laten herstellen na een cyberaanval?
Onbeheerde laptop met gevoelige documenten op scherm in modern kantoor, koffiekopje op bureau, natuurlijk raamlicht.Hoe voorkom je dat medewerkers onbewust de beveiliging van je organisatie in gevaar brengen?
Zware stalen kluisdeur op een kier in een moderne serverruimte, met zichtbare beveiligingsmechanismen en blauw-amberkleurig licht.Wat is het verschil tussen NIS1 en NIS2?
Metalen kompas naast een leeg checklist-formulier op wit bureau, zacht ochtendlicht, kantoromgeving op de achtergrond.Waar begin je als je organisatie nog niets heeft geregeld voor NIS2?
Senior professional in pak bestudeert een organisatiediagram op bureau, met laptop met beveiligingsdashboard op achtergrond.Wie is verantwoordelijk voor NIS2-compliance binnen een organisatie?
Officieel nalevingsdocument met stalen hangslot op modern bureau, laptop met beveiligd netwerkdashboard op achtergrond.Wat zijn de belangrijkste verplichtingen onder NIS2?
Opgeruimd modern bureau met open laptop, kleurgecodeerde mappen, sticky notes en koffiekop in zacht natuurlijk licht.Hoe richt je een digitale werkomgeving in zodat kennis makkelijk overdraagbaar is?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden