De Cyberbeveiligingswet — de Nederlandse invulling van de Europese NIS2-richtlijn — gaat naar verwachting op 1 juli 2026 in. De wet geldt direct voor middelgrote en grote organisaties in aangewezen sectoren, maar raakt via de keten ook veel mkb-bedrijven met minder dan vijftig medewerkers: klanten die wél onder de wet vallen, gaan beveiligingseisen stellen aan hun leveranciers. Het goede nieuws: een flink deel van de tien zorgplichtmaatregelen regel je gewoon in de Microsoft 365- of Google Workspace-omgeving die je al hebt. In dit artikel vertalen we de wet naar concrete instellingen en een checklist.
Wat is de stand van zaken rond NIS2 in Nederland?
De Tweede Kamer nam de Cyberbeveiligingswet in april 2026 aan en de beoogde ingangsdatum is 1 juli 2026 (Bouwend Nederland, 2026). De wet ligt nu bij de Eerste Kamer; het NCSC houdt het op inwerkingtreding "rond 1 juli 2026" (NCSC, 2026). Daarmee vervangt de Cyberbeveiligingswet de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).
Belangrijk om te weten: er is geen ruime overgangsperiode. De zorgplicht en de meldplicht gelden vanaf de ingangsdatum. Alleen voor de verplichte cyberbeveiligingstraining van bestuurders geldt een termijn van twee jaar na inwerkingtreding (Digitale Overheid, 2026). De NIS2-richtlijn legt de eindverantwoordelijkheid voor digitale weerbaarheid bovendien expliciet bij het bestuur — dit is geen onderwerp dat je volledig bij "iemand van IT" kunt parkeren.
Val ik onder NIS2 — ook met minder dan vijftig medewerkers?
Direct onder de wet val je als je in een aangewezen sector werkt én middelgroot of groot bent: vanaf 50 medewerkers, of meer dan 10 miljoen euro jaaromzet of balanstotaal (Ondernemersplein, 2026). Kleinere bedrijven vallen er meestal niet rechtstreeks onder, op een paar uitzonderingen na die ongeacht omvang meedoen, zoals aanbieders van vertrouwensdiensten en aanbieders van elektronische communicatienetwerken.
Daarmee ben je als kleiner mkb-bedrijf echter niet klaar. Een van de tien zorgplichtmaatregelen is namelijk de beveiliging van de toeleveringsketen: organisaties die onder de wet vallen, moeten hun leveranciers in kaart brengen en de risico's in die keten beheersen (NCSC, 2026). In de praktijk betekent dat: vragenlijsten over je beveiliging, eisen in contracten en inkoopvoorwaarden, en soms een audit. Lever je software, diensten of onderdelen aan bijvoorbeeld logistiek, zorg, industrie, energie of een grotere ICT-dienstverlener, dan komt NIS2 dus jouw kant op — niet via de toezichthouder, maar via je klant. Wie die vragenlijst dan al beantwoord kán beantwoorden, heeft een streepje voor op concurrenten die nog moeten beginnen.
De tien zorgplichtmaatregelen in Microsoft 365 of Google Workspace
De Cyberbeveiligingswet schrijft tien zorgplichtmaatregelen voor; welke invulling passend is, bepaal je zelf op basis van een risicoanalyse (NCSC, 2026). Voor een mkb-organisatie die op Microsoft 365 of Google Workspace draait, is een groot deel met bestaande functies te regelen — vaak zonder extra licenties. Zo zien de tien maatregelen eruit als je ze vertaalt naar je eigen werkomgeving:
| Maatregel uit de wet | Concreet in Microsoft 365 / Google Workspace |
|---|---|
| 1. Risicoanalyse en beveiligingsbeleid | Leg vast welke systemen en data kritiek zijn en wat de grootste risico's zijn. Gebruik de ingebouwde beveiligingsscore en rapportages als nulmeting. |
| 2. Incidentenbehandeling | Eén aanspreekpunt en een kort stappenplan voor incidenten; beveiligingsmeldingen en alerts daadwerkelijk laten uitkomen bij iemand die ernaar kijkt. |
| 3. Bedrijfscontinuïteit, back-up en herstel | Back-up van mail en bestanden (Exchange, OneDrive/SharePoint of Gmail/Drive) buiten je eigen tenant, plus een hersteltest die je periodiek herhaalt. |
| 4. Beveiliging van de toeleveringsketen | Een actuele lijst van leveranciers en apps met toegang tot je omgeving, verwerkersovereenkomsten op orde, en externe toegang beperkt in tijd en rechten. |
| 5. Cyberhygiëne en training | Basisafspraken voor het hele team: wachtwoordbeleid, omgaan met phishing, periodieke awareness-momenten — en de verplichte training voor het bestuur. |
| 6. Beveiliging bij aanschaf en onderhoud van systemen | Updates en patchmanagement structureel geregeld; nieuwe apps die toegang vragen tot je tenant (OAuth-toestemmingen) eerst beoordelen. |
| 7. Personeel, toegangsbeleid en assetbeheer | Vast on- en offboardingproces, minimale rechten per rol, geen gedeelde accounts, en een overzicht van alle devices via Intune of MDM. |
| 8. Multifactor-authenticatie en beveiligde communicatie | MFA verplicht voor álle accounts, te beginnen bij beheerders; voorwaardelijke toegang (Microsoft 365 Business Premium) of afgedwongen 2-staps-verificatie in Workspace. |
| 9. Cryptografie en encryptie | Schijfversleuteling op laptops (zoals BitLocker via Intune), versleutelde verbindingen en een korte vastlegging van wat je waar versleutelt. |
| 10. Effectiviteit van maatregelen beoordelen | Periodieke review: rechten nalopen, auditlogging controleren, back-up testen en de uitkomsten kort rapporteren aan het bestuur. |
Twee aandachtspunten bij die vertaling. Ten eerste logging: zonder auditlogs kun je een incident niet reconstrueren en dus ook niet goed melden — zet logging aan en controleer hoelang je logs bewaard blijven. Ten tweede aantoonbaarheid: de wet vraagt niet alleen dat je maatregelen néémt, maar ook dat je kunt laten zien wat je hebt afgewogen. Een beknopt, actueel document wint het hier van een dik rapport dat niemand bijhoudt. Hoe wij dit soort omgevingen structureel inrichten en bijhouden, lees je bij Microsoft 365-beheer en IT-beheer uitbesteden.
De meldplicht: 24 uur, 72 uur en één maand
De meldplicht kent een vaste, getrapte timing: bij een significant incident doe je binnen 24 uur een vroegtijdige waarschuwing bij het CSIRT en de toezichthouder, binnen 72 uur volgt een inhoudelijke melding en binnen één maand lever je een eindverslag (Digitale Overheid, 2026). Daarnaast geldt een registratieplicht: organisaties die onder de wet vallen, registreren zich via het portaal van het NCSC.
De praktische consequentie wordt vaak onderschat: om binnen 24 uur te kunnen melden, moet je een incident überhaupt kunnen zien. Dat vraagt om monitoring en alerts die bij iemand uitkomen — ook op vrijdagavond — en om een lijstje dat klaarligt: wie constateert, wie beslist, wie meldt, en waar. Dat lijstje maken kost een middag; het tijdens een incident moeten verzinnen kost dagen.
Checklist: dit regel je vóór 1 juli 2026
Begin niet met beleid schrijven, maar met de techniek die direct risico wegneemt. Deze acht punten vormen samen een realistische voorbereiding voor een mkb-organisatie:
- 1. Bepaal je positie. Check of je zelf onder de wet valt (sector plus omvang) én of je belangrijkste klanten eronder vallen — dan komen de eisen via hen.
- 2. Zet MFA aan voor alle accounts. Te beginnen bij beheerdersaccounts; geen uitzonderingen "omdat het onhandig is".
- 3. Regel een echte back-up. Mail en bestanden buiten je eigen tenant veiliggesteld, met een geteste herstelprocedure — waarom de standaard niet volstaat lees je in Microsoft 365-backup.
- 4. Ruim toegang op. Oud-medewerkers eruit, minimale rechten per rol, gedeelde accounts vervangen door persoonlijke.
- 5. Zet logging aan. Controleer wat er gelogd wordt, hoelang het bewaard blijft en wie er bij een alert daadwerkelijk kijkt.
- 6. Leg je risicoanalyse kort vast. Welke systemen zijn kritiek, wat zijn de grootste risico's, welke maatregelen staan ertegenover.
- 7. Maak een incident-stappenplan. Inclusief de meldroute: binnen 24 uur waarschuwen, binnen 72 uur melden, binnen een maand het eindverslag.
- 8. Plan de bestuurderstraining. De termijn is twee jaar, maar het bestuur is vanaf dag één eindverantwoordelijk.
Wil je eerst zwart-op-wit zien waar je organisatie nu staat? Doe de gratis zelftest — die laat in een paar minuten zien waar je digitale basis staat en wat de logische eerste stap is.
Kort samengevat
- De Cyberbeveiligingswet (NIS2) is in april 2026 door de Tweede Kamer aangenomen; de beoogde ingangsdatum is 1 juli 2026 en er is geen ruime overgangsperiode.
- Direct plichtig: middelgrote en grote organisaties in aangewezen sectoren (vanaf 50 medewerkers of 10 miljoen euro omzet/balanstotaal). Kleinere bedrijven krijgen de eisen vaak via plichtige klanten.
- De tien zorgplichtmaatregelen zijn voor het mkb grotendeels in te vullen met functies die al in Microsoft 365 of Google Workspace zitten: MFA, toegangsbeheer, logging, device-beheer en back-up.
- De meldplicht is getrapt: waarschuwing binnen 24 uur, inhoudelijke melding binnen 72 uur, eindverslag binnen één maand — en dat lukt alleen met werkende monitoring.
- Begin bij techniek die direct risico wegneemt (MFA, back-up, toegang opruimen) en houd de vastlegging kort en actueel.
Meer lezen
- Microsoft 365-beheer door RiverFlows
- Microsoft 365-backup: waarom de standaard niet genoeg is
- IT-beheer uitbesteden: wat het inhoudt
- Wat kost IT-beheer?
- Doe de gratis zelftest
Veelgestelde vragen
Wanneer gaat de Cyberbeveiligingswet (NIS2) in?
De beoogde ingangsdatum is 1 juli 2026. De Tweede Kamer nam de Cyberbeveiligingswet in april 2026 aan; na goedkeuring door de Eerste Kamer vervangt de wet de huidige Wbni. De zorgplicht en meldplicht gelden vanaf de ingangsdatum; alleen voor de verplichte bestuurderstraining geldt een termijn van twee jaar.
Valt mijn bedrijf met minder dan 50 medewerkers onder NIS2?
Meestal niet direct: de wet geldt voor middelgrote en grote organisaties in aangewezen sectoren — vanaf 50 medewerkers of meer dan 10 miljoen euro jaaromzet of balanstotaal. Maar via de keten krijg je er vaak alsnog mee te maken: een van de tien zorgplichtmaatregelen is de beveiliging van de toeleveringsketen, waardoor plichtige klanten beveiligingseisen aan hun leveranciers gaan stellen.
Wat houdt de meldplicht precies in?
Bij een significant incident meld je binnen 24 uur een vroegtijdige waarschuwing bij het CSIRT en de toezichthouder, binnen 72 uur volgt een inhoudelijke melding en binnen één maand een eindverslag. Daarnaast geldt een registratieplicht: organisaties die onder de wet vallen registreren zich via het portaal van het NCSC.
Moet ik ISO 27001-gecertificeerd zijn voor NIS2?
Nee, de Cyberbeveiligingswet schrijft geen certificering voor. Je moet passende maatregelen nemen op basis van een risicoanalyse en die kunnen aantonen. Een certificering kan daarbij helpen, maar een goed ingerichte en gedocumenteerde Microsoft 365- of Google Workspace-omgeving telt net zo goed als bewijs.
Wat kost het om aan NIS2 te voldoen?
Voor een mkb-organisatie zit een groot deel van de maatregelen in licenties die je al hebt: MFA, toegangsbeheer en logging zijn standaardfuncties van Microsoft 365 en Google Workspace. De echte kosten zitten in het eenmalig op orde brengen van rechten, back-up en vastlegging, en daarna in structureel beheer. Wat dat beheer kost, lees je in ons artikel over de kosten van IT-beheer.
Liever dit soort inzichten in je inbox?
Laat je e-mailadres achter, dan zetten we je op de lijst en mailen we je zodra de eerstvolgende editie over IT, automatisering en dashboards uitkomt. Uitschrijven kan altijd met één mailtje.