Het is definitief: op 15 augustus 2026 treedt de Cyberbeveiligingswet in werking. Ongeveer 10.000 Nederlandse organisaties vallen rechtstreeks onder de wet. Maar ook veel leveranciers krijgen met nieuwe cybersecurity-eisen te maken.
NIS2 raakt ook leveranciers
De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn. Organisaties die onder de wet vallen, moeten passende maatregelen nemen om cyberrisico’s te beheersen én kunnen aantonen dat hun cybersecurity op orde is.
Daarbij moeten zij ook risico’s in hun leveranciersketen beheersen. Een cyberincident bij een leverancier kan immers leiden tot systeemuitval, dataverlies of verstoring van belangrijke bedrijfsprocessen.
Leveranciers kunnen daarom steeds vaker vragen verwachten zoals:
- Welke beveiligingsmaatregelen zijn genomen?
- Hoe worden systemen en gegevens beschermd?
- Wat gebeurt er bij een cyberincident?
- Kun je aantonen dat maatregelen daadwerkelijk zijn uitgevoerd?
Ook als je organisatie niet rechtstreeks onder NIS2 valt, kun je dus via klanten met deze eisen te maken krijgen.
Aantoonbare cybersecurity wordt belangrijker
Alleen zeggen dat je veilig werkt, is niet voldoende. Klanten willen steeds vaker bewijs zien, bijvoorbeeld via beleid, rapportages, controles of onafhankelijke certificering.
NIS2 Supply Chain helpt organisaties om cybersecurity aantoonbaar te maken op een niveau dat past bij het leveranciersrisico:
- SC10 voor een beperkt risicoprofiel;
- SC20 voor een verhoogd risicoprofiel;
- SC30 voor een hoog of kritisch risicoprofiel.
Wacht niet tot 15 augustus
Breng nu in kaart of je rechtstreeks onder NIS2 valt of levert aan organisaties die onder de Cyberbeveiligingswet vallen. Controleer welke maatregelen al aanwezig zijn, waar verbeteringen nodig zijn en hoe je de uitvoering kunt aantonen.
15 augustus 2026 is de datum waarop de verplichtingen ingaan, niet het moment om pas te beginnen.