Wanneer treedt de Cyberbeveiligingswet (NIS2) in werking?

De Tweede Kamer stemde op 15 april 2026 in met het wetsvoorstel. De behandeling in de Eerste Kamer loopt nog; de regering mikt op inwerkingtreding per 1 juli 2026. De verplichtingen gelden vanaf de dag van inwerkingtreding, zonder overgangsperiode.

Is een penetratietest verplicht onder NIS2?

De wet noemt het woord penetratietest niet letterlijk. De zorgplicht verplicht u wel om passende maatregelen te nemen én de effectiviteit ervan te beoordelen. Een onafhankelijke penetratietest is daarvoor het gangbare en sterkste bewijsinstrument voor de technische maatregelen.

Cyberbeveiligingswet (NIS2): valt u eronder en wat verandert er per 1 juli 2026?

Q: Valt mijn organisatie onder de Cyberbeveiligingswet?

Globaal vallen middelgrote en grote organisaties (vuistregel: 50 of meer medewerkers, of meer dan 10 miljoen euro omzet) in een aangewezen sector eronder, zoals energie, zorg, drinkwater, transport, overheid, banken, digitale infrastructuur en digitale dienstverleners. Sommige organisaties vallen er ongeacht hun omvang onder. De wet onderscheidt essentiële en belangrijke entiteiten.

De Cyberbeveiligingswet — de Nederlandse uitwerking van de Europese NIS2-richtlijn — staat op het punt in werking te treden. De Tweede Kamer stemde op 15 april 2026 in; de regering mikt op 1 juli 2026, en er is geen overgangsperiode. Drie vragen bepalen wat dit voor u betekent: valt u eronder, wat moet u dan, en hoe toont u aan dat uw beveiliging werkt?

Waar staan we nu (juni 2026)?

Even de stand van zaken, want daar bestaat veel verwarring over. NIS2 is de Europese richtlijn; die had al in oktober 2024 omgezet moeten zijn in nationale wetgeving, maar Nederland haalde die deadline niet. De Nederlandse uitwerking heet de Cyberbeveiligingswet (Cbw). De stappen tot nu toe:

De Tweede Kamer stemde op 15 april 2026 in met het wetsvoorstel Cyberbeveiligingswet (en de bijbehorende Wet weerbaarheid kritieke entiteiten).
De Eerste Kamer behandelt het voorstel op dit moment; de commissie bracht begin juni 2026 verslag uit, de plenaire stemming volgt daarna.
De regering beoogt inwerkingtreding per 1 juli 2026. Een definitieve datum hangt af van afronding in de Eerste Kamer.

Geen overgangsperiode

Dit is het detail dat veel organisaties verrast: de verplichtingen gelden vanaf de dag dat de wet in werking treedt. Er is geen ingroeiperiode van een jaar. Wie pas begint te bouwen op het moment dat de wet er is, loopt vanaf dag één achter de feiten aan. De voorbereiding moet dus nú gebeuren, niet na 1 juli.

Valt mijn organisatie onder de Cyberbeveiligingswet?

De wet werkt met twee criteria tegelijk: sector en omvang. Valt u in een aangewezen sector én bent u middelgroot of groot, dan valt u er in beginsel onder. De vuistregel voor "middelgroot" is 50 of meer medewerkers, of meer dan €10 miljoen jaaromzet (of balanstotaal). Sommige typen organisaties vallen er bovendien ongeacht hun omvang onder.

De aangewezen sectoren omvatten onder meer energie, drinkwater en afvalwater, transport, banken en financiële markten, zorg, digitale infrastructuur, overheid, post- en koeriersdiensten, afvalbeheer, de chemische en voedingsindustrie, productie van kritieke goederen, digitale dienstverleners (cloud, datacenters, online marktplaatsen, zoekmachines) en onderzoek.

De wet maakt vervolgens onderscheid tussen twee categorieën, met praktisch dezelfde inhoudelijke verplichtingen maar verschillend toezicht:

Aspect	Essentiële entiteit	Belangrijke entiteit
Wie vooral	Grote organisaties in de meest kritieke sectoren (o.a. energie, transport, zorg, drinkwater, digitale infrastructuur, overheid)	Middelgrote organisaties in die sectoren, plus organisaties in de overige aangewezen sectoren
Zorgplicht & meldplicht	Ja	Ja — inhoudelijk gelijk
Toezicht	Proactief: de toezichthouder kan ook zonder aanleiding controleren	Reactief: toezicht vooral naar aanleiding van een incident of signaal
Maximale boete	Tot €10 mln of 2% van de wereldwijde jaaromzet	Tot €7 mln of 1,4% van de wereldwijde jaaromzet

Twijfelt u of u eronder valt? Reken uzelf niet te snel "nee". Veel organisaties die zichzelf niet als "kritieke infrastructuur" zien — een SaaS-leverancier aan de zorg, een regionaal transportbedrijf, een drinkwater-toeleverancier — vallen er via sector of via de keten alsnog onder. Bij twijfel is de veilige aanname dat u zich voorbereidt.

De drie kernverplichtingen

Onder de streep komt de wet neer op drie verplichtingen. Ze gelden voor essentiële én belangrijke entiteiten.

VERPLICHTING 01

Zorgplicht

Voer zelf een risicobeoordeling uit en neem op basis daarvan passende en evenredige technische en organisatorische maatregelen. En toon aan dat die maatregelen ook echt werken.

VERPLICHTING 02

Meldplicht

Meld een significant incident snel: een eerste melding (early warning) binnen 24 uur, gevolgd door een uitgebreidere incidentmelding binnen 72 uur en een eindrapportage binnen een maand.

VERPLICHTING 03

Registratieplicht

Registreer uw organisatie als entiteit, zodat de toezichthouder weet wie onder de wet valt. Onderdeel van het aantoonbaar "in beeld" zijn.

+ BESTUUR

Verantwoordelijkheid van de leiding

Het bestuur moet de maatregelen goedkeuren, erop toezien en zich laten bijscholen. Bestuurlijke betrokkenheid is geen formaliteit meer, maar een wettelijke eis.

Wat de zorgplicht technisch betekent

De zorgplicht is bewust principle-based geformuleerd: de wet schrijft geen exacte maatregelen voor, maar verwacht dat u op basis van uw eigen risicobeoordeling tot passende keuzes komt. De NIS2-richtlijn somt wel de gebieden op die in elk geval afgedekt moeten zijn, onder andere:

Risicoanalyse en beleid voor informatiebeveiliging
Incidentafhandeling en -detectie
Bedrijfscontinuïteit, back-up en crisisbeheer
Beveiliging van de toeleveringsketen
Beveiliging bij verwerving, ontwikkeling en onderhoud van systemen — inclusief het melden en afhandelen van kwetsbaarheden
Beleid om de effectiviteit van de maatregelen te beoordelen
Toegangsbeheer, encryptie en multifactor-authenticatie

Let op die voorlaatste: het beoordelen van de effectiviteit van uw maatregelen is zelf een expliciete eis. Beleid hebben is niet genoeg; u moet kunnen laten zien dat het in de praktijk standhoudt. Dat is precies het punt waar een papieren compliance-traject en daadwerkelijke weerbaarheid uit elkaar lopen.

Waar past een penetratietest in?

De Cyberbeveiligingswet noemt het woord "penetratietest" nergens letterlijk — net zomin als de NIS2-richtlijn dat doet. Dat is geen vrijbrief, maar juist een opdracht: ú moet aantoonbaar maken dat uw verificatiemethode passend is. En voor de technische maatregelen is een onafhankelijke penetratietest het gangbare en sterkste bewijsinstrument. Een goed pentestrapport laat zwart op wit zien:

Welke kwetsbaarheden er feitelijk waren op het moment van testen
Welke daarvan werkelijk exploiteerbaar waren — niet alleen theoretisch
Welke maatregelen aantoonbaar werken, en welke niet
Welke bevindingen na herstel zijn verholpen (de hertest)

Daarmee dekt een pentest precies het "beoordeel de effectiviteit"-deel van de zorgplicht af. Het vervangt niet het bredere NIS2-traject (governance, meldketen, ketenbeheer), maar het is wel het stuk bewijs dat het lastigst te vervangen is: een externe partij die heeft geprobeerd binnen te komen, en het resultaat heeft vastgelegd. Wilt u eerst de basis begrijpen, lees dan wat een penetratietest precies is; voor het kostenplaatje, zie wat een penetratietest kost.

Sectorspecifiek

Werkt u in de zorg of bij de overheid, dan loopt NIS2 samen met bestaande kaders. Voor zorginstellingen sluit het aan op NEN 7510; voor gemeentes op ENSIA en de BIO — daarover schreven we eerder NIS2 en gemeentes: wat verwacht de toezichthouder?. De onderliggende eis is dezelfde: aantoonbaar maken dat de maatregelen werken.

Wat kunt u nu doen — vóór 1 juli

Geen paniek, maar ook geen uitstel. Een werkbare eerste aanzet:

Bepaal of u eronder valt. Toets uw sector en omvang aan de criteria. Bij twijfel: ga uit van wél.
Maak een actuele risicobeoordeling. Welke systemen zijn kritiek, welke dreigingen zijn relevant, welke maatregelen horen daarbij?
Richt de meldketen in. Wie wordt gebeld bij een incident, wie maakt de melding, binnen welke termijn? Oefen het één keer.
Verzamel bewijs dat de techniek werkt. Plan een penetratietest op uw meest kritieke applicatie(s) en bewaar het rapport én de hertest-verklaring.
Betrek het bestuur formeel. Laat besluitvorming en bijscholing over cyberrisico's vastleggen — dat is nu een wettelijke eis, geen nice-to-have.
Kijk naar uw keten. Vraag bij uw kritieke leveranciers naar hun pentestrapporten of certificeringen.

De kern in één zin

NIS2 verschuift de lat van "hebt u beleid?" naar "kunt u aantonen dat het werkt?". Wie dat bewijs nu opbouwt, is op 1 juli klaar — wie wacht tot de toezichthouder belt, kiest de duurste route.

Conclusie

De Cyberbeveiligingswet is geen aanvinkoefening en geen ver-van-uw-bed-show. Hij raakt een brede groep middelgrote en grote organisaties, treedt naar verwachting per 1 juli 2026 in werking zonder overgangsperiode, en verschuift de verantwoordelijkheid nadrukkelijk naar het bestuur. De zorgplicht vraagt niet alleen om maatregelen, maar om bewijs dat ze werken.

Een penetratietest is binnen dat geheel geen doel op zich, maar wel het meest concrete bewijsstuk voor de technische kant — en een van de snelste eerste stappen die u kunt zetten. Twijfelt u waar te beginnen? Een gratis intake van 30 minuten geeft helderheid, zonder verplichtingen.