De Cyberbeveiligingswet gaat over 3 maanden in...1 juli! Wat doe jij tot die tijd?

Vorige week berichtten we op onze website en in de nieuwsbrief dat de overheid op koers ligt voor 1 juli 2026. Misschien vroeg je je af: hoe zeker is dat eigenlijk?

Het antwoord is: zo goed als zeker.

De wet doorloopt de laatste formele stappen in het parlement. De Tweede Kamer stemt in april, de Eerste Kamer volgt. Na publicatie in het Staatsblad, doorgaans een week later, treedt de wet in werking. De wetteksten zijn klaar, de toezichthouders zijn voorbereid en grote handelspartners zoals Duitsland en België hebben de wet al ingevoerd. Bovendien gaat ongeveer 98% van alle Nederlandse wetten in op 1 januari of 1 juli. Alles wijst op 1 juli 2026.

De officiële bevestiging komt pas in juni.

Slimme organisaties wachten daar niet op. Voor de meeste organisaties kost het namelijk minimaal 3 maanden om cybersecurity en leveranciersbeheer aantoonbaar op orde te brengen. Wie nu aan de slag gaat, loopt voor op de rest en staat straks sterk.

Behandel 1 juli als vast uitgangspunt en stem je voorbereiding daarop af. Ondernemers die dit nu oppakken, hebben straks een streepje voor: bij klanten die hun leveranciers screenen, bij banken en verzekeraars die cyberveiligheid meewegen, bij accountants die er steeds vaker naar vragen en bij aanbestedingen waar dit als eis wordt gesteld.

Nu je leveranciers informeren

De komende maanden staan voor veel organisaties in het teken van de laatste voorbereidingen. Dat betekent in de eerste plaats dat organisaties hun leveranciers in kaart moeten brengen en per leverancier moeten beoordelen of er een risico bestaat voor de continuïteit van de bedrijfsvoering. Vervolgens moeten aan risicoleveranciers eisen worden gesteld op het gebied van cybersecurity en moet dit contractueel worden vastgelegd. Dit is een van de kernonderdelen van NIS2 en hier wordt in toezicht en audits specifiek naar gekeken. Veel organisaties zijn hier nog niet ver genoeg mee, terwijl dit traject met leveranciers vaak meerdere maanden duurt.

Daarnaast moeten organisaties hun interne basis op orde brengen. Samen met je IT-leveranciers werken aan de technische zaken.

Awareness-training voor medewerkers en duidelijke verantwoordelijkheden op directieniveau. NIS2 is namelijk niet alleen een IT-verhaal, maar vooral een governance-verhaal. De directie moet kunnen aantonen dat zij risico’s kent, maatregelen heeft genomen en periodiek controleert of deze werken. Wie deze drie maanden gebruikt om zowel de interne maatregelen als de leveranciersaanpak goed in te richten, kan straks aantonen dat hij “in control” is wanneer de Cyberbeveiligingswet in werking treedt.

Inplannen van de audit cruciaal

We verwachten een grote drukte in mei en juni bij auditoren. Plan nu je audit in. Kijk bij www.auditplanner.eu

Actie

• Ga aan de slag via het portaal
• Bekijk de webinars voor deelnemers