Martin Maas CISO
15 juni 2026

NIS2 Cyberbeveiligingswet: wat betekent dit voor CIO's in de financiële sector en centrale overheid?

De Cyberbeveiligingswet maakt de NIS2-richtlijn juridisch bindend in Nederland. De wet raakt governance, IT-inrichting en bestuurlijke verantwoordelijkheid. Denk aan persoonlijke aansprakelijkheid voor bestuurders, boetes tot €10 miljoen en proactief toezicht door nationale autoriteiten.

Voor CIO’s bij banken, verzekeraars en de centrale overheid liggen de belangen het hoogst. Dit artikel legt uit wat de wet inhoudt, welke organisaties eronder vallen, wat de gevolgen zijn bij tekortkomingen en hoe voorbereiding eruitziet voor sectoren waar de druk het grootst is.

Wat is de NIS2 Cyberbeveiligingswet?

De Cyberbeveiligingswet vormt de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet breidt het toezicht sterk uit en legt bindende zorgplichten op aan middelgrote en grote organisaties binnen digitale infrastructuur, financiële dienstverlening, zorg, overheid en IT-dienstverlening.

Onder IT-dienstverlening vallen aanbieders van infrastructuurdiensten, platformdiensten, werkplekomgevingen, identity and access management (IAM) diensten en netwerkdiensten. Bestuurders dragen expliciete verantwoordelijkheid voor naleving, toezicht en besluitvorming.

Het wetsvoorstel ligt momenteel bij de Tweede Kamer. De exacte inwerkingtreding is nog niet vastgesteld en is afhankelijk van de parlementaire behandeling. Toch lopen organisaties die nu nog niet structureel voorbereid zijn, een risico. Ze moeten mogelijk hun eigen planningscycli en budgetronden nog aanpassen om compliant te worden en aantoonbaar compliant te blijven.

"Essentiële entiteiten vallen onder proactief toezicht. Toezichthouders handhaven actief, ook zonder dat er een incident heeft plaatsgevonden."

Welke organisaties vallen onder NIS2?

De wet maakt onderscheid tussen twee categorieën entiteiten. Dat onderscheid bepaalt het toezichtregime en de hoogte van sancties.

Essentiële entiteiten zijn organisaties in sectoren met de hoogste maatschappelijke impact:

  • Centrale overheid en overheidsinstanties
  • Banken en financiële marktinfrastructuur
  • Aanbieders van digitale infrastructuur, waaronder datacenters en DNS-diensten
  • Energie, drinkwater en transport
  • Ziekenhuizen en zorginstellingen

Essentiële entiteiten vallen onder proactief toezicht. Toezichthouders handhaven actief, ook zonder dat er een incident heeft plaatsgevonden. Sancties lopen op tot € 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitvalt.

Belangrijke entiteiten omvatten onder meer postdiensten, afvalbeheer en delen van de maakindustrie. Zij vallen onder reactief toezicht: handhaving vindt primair plaats naar aanleiding van incidenten. De maximale boete bedraagt hier € 7 miljoen of 1,4% van de wereldwijde jaaromzet.

Voor een CIO bij een bank, verzekeraar of overheidsinstelling is de conclusie helder: de organisatie valt vermoedelijk in de zwaarste categorie, met de meest vergaande verplichtingen en het scherpste toezicht.

"De vraag is niet of de organisatie compliant moet zijn, maar hoeveel het kost als dat niet het geval is."

Sancties: het argument voor de boardroom

Cybersecurity krijgt een ander gewicht zodra de wet boetes koppelt aan bestuurlijke tekortkomingen. De Cyberbeveiligingswet kent voor essentiële entiteiten de volgende sanctiemogelijkheden:

  • Boetes tot € 10 miljoen of 2% van de wereldwijde jaaromzet
  • Tijdelijke schorsing van bestuursfuncties bij ernstige nalatigheid
  • Publieke bekendmaking van overtredingen
  • Verplichte externe audits op kosten van de organisatie

Voor een CIO die intern budget en mandaat nodig heeft om te investeren in compliance, zijn deze bedragen het sterkste argument richting de Raad van Bestuur. De vraag is niet of de organisatie compliant moet zijn, maar hoeveel het kost als dat niet het geval is.

Persoonlijke bestuurlijke aansprakelijkheid

Een van de meest ingrijpende elementen van de Cyberbeveiligingswet is de persoonlijke aansprakelijkheid van bestuurders. Dit gaat verder dan organisatorische verantwoordelijkheid: individuele bestuurders zijn aansprakelijk wanneer onvoldoende maatregelen zijn genomen of wanneer toezicht op IT-beveiliging aantoonbaar tekortschoot.

Concreet betekent dit:

  • Bestuurders zijn verplicht kennis te nemen van de cybersecurityrisico’s binnen de organisatie
  • Scholing en kennisopbouw gelden als wettelijke verplichting voor bestuurders én toezichthouders
  • Bij ernstige nalatigheid volgt tijdelijke uitsluiting van bestuursfuncties

Dit is nieuw en ingrijpend. Cybersecurity was lange tijd een technisch domein met een eigen verantwoordelijkheidskolom. De Cyberbeveiligingswet maakt het tot een bestuurlijke kerntaak, met persoonlijke consequenties als het misgaat. Een bestuurder die aangeeft niet op de hoogte te zijn geweest van IT-risico’s, voldoet daarmee al niet aan de wettelijke norm.

Een voorbeeldscenario: een middelgrote Nederlandse bank wordt getroffen door een datalek via een verouderd identity management-systeem. De kwetsbaarheid was acht maanden eerder intern gesignaleerd door de security-afdeling, maar escaleerde nooit naar het bestuur. De CIO verklaart tijdens het toezichtgesprek met DNB dat hij hiervan niet op de hoogte was.

Onder de Cyberbeveiligingswet is dat geen vrijbrief, het is precies het probleem. De wet verplicht bestuurders niet alleen om maatregelen te treffen, maar ook om actief kennis te nemen van de cybersecurityrisico’s binnen de organisatie. Wie niet wist van een gesignaleerde kwetsbaarheid, heeft zijn toezichthoudende taak niet goed uitgeoefend. Het gevolg: persoonlijke aansprakelijkheid, een boete voor de organisatie én mogelijke tijdelijke uitsluiting van bestuursfuncties, ook al was de bestuurder zelf niet degene die het systeem beheerde.

Formeel toezicht en bevoegde autoriteiten

Zodra de Cyberbeveiligingswet in werking treedt, start formeel toezicht door nationale autoriteiten. Technische keuzes rond IT-architectuur, uitbesteding en beheer krijgen daarmee directe juridische en bestuurlijke impact.

De wet verplicht onder meer:

  • Risicobeheersmaatregelen voor digitale infrastructuur
  • Vastgestelde termijnen voor incidentmelding
  • Toetsing van leveranciers binnen de IT-keten
  • Bestuurlijke aansprakelijkheid bij tekortkomingen

De inrichting van het toezicht is op dit moment nog in ontwikkeling. Hetzelfde geldt voor de nadere uitwerking van de verplichtingen die voortvloeien uit de NIS2-richtlijn; hierover vindt nog besluitvorming plaats.

Relatie met de Baseline Informatiebeveiliging Overheid (BIO)

De relatie met de Baseline Informatiebeveiliging Overheid (BIO) verdient hier aandacht. De BIO biedt een bestaand normenkader voor informatiebeveiliging binnen de overheid, maar dekt de NIS2-verplichtingen niet volledig af. Zo schrijft de BIO geen expliciete meldtermijnen voor bij incidenten, ontbreekt een verplichting tot persoonlijke bestuurlijke scholing en is ketenverantwoordelijkheid minder concreet uitgewerkt dan onder de Cyberbeveiligingswet vereist wordt. Aanvulling op het bestaande BIO-kader is dan ook noodzakelijk voor overheidsorganisaties die aan beide normen willen voldoen.

Wat de wet beoordeelt in je IT-omgeving

De Cyberbeveiligingswet beoordeelt geen abstract cloudgebruik, maar de inrichting en beheersing van cloudinfrastructuur en onderliggende IT-componenten. Daarbij gaat het om:

  • Infrastructuur als dienst (IaaS) voor compute en storage
  • Platformdiensten voor applicatieontwikkeling
  • IAM voor toegangscontrole
  • Netwerksegmentatie en beveiligde connectiviteit
  • Logging en monitoring voor detectie en rapportage via een Security Information and Event Management-systeem (SIEM)

Uitval of compromittering van deze componenten krijgt een verhoogde risicoclassificatie wanneer maatschappelijke of economische impact ontstaat.

"De crisisstructuur is geen document in een la, maar een geoefend proces met bekende eigenaren op bestuursniveau."

Incidentmelding en crisisstructuur

Ernstige cybersecurity-incidenten moeten binnen strikte termijnen worden gemeld bij de bevoegde autoriteit: een eerste melding binnen 24 uur, een nadere rapportage binnen 72 uur. Dit geldt voor incidenten binnen infrastructuur, platformdiensten of identity-systemen.

Dit vereist een ingerichte crisisstructuur met vastgelegde verantwoordelijkheden, besluitvormingslijnen en communicatieafspraken op bestuursniveau. Organisaties die pas tijdens een incident uitzoeken wie wat moet doen, zijn structureel te laat. De crisisstructuur is geen document in een la, maar een geoefend proces met bekende eigenaren op bestuursniveau.

Een voorbeeldscenario: een ransomware-aanval legt de betalingsinfrastructuur van een bank 72 uur plat. Wie meldt wanneer aan welke autoriteit, en wie is aansprakelijk als de melding te laat komt? Onder de Cyberbeveiligingswet is het antwoord helder: de getroffen organisatie meldt binnen 24 uur aan het NCSC en DNB, gevolgd door een nadere rapportage binnen 72 uur. Bij een te late of ontbrekende melding is het bestuur persoonlijk aansprakelijk. Wie dit scenario niet heeft doorgedacht, heeft geen crisisstructuur en dat is precies wat de wet vereist.

Aantoonbare beveiliging en beheersing

De wet vereist aantoonbare werking van beveiligingsmaatregelen. Documentatie en aantoonbaarheid wegen even zwaar als de techniek zelf. Dit vraagt om vastgelegde processen en technische inrichting zoals:

  • Dataversleuteling bij opslag en overdracht
  • Gecentraliseerde IAM met sterke authenticatie
  • Gescheiden omgevingen voor productie en beheer
  • Continue monitoring en logging via een SIEM
  • Periodieke beveiligingstests
  • Vastgelegde rapportagestructuren

Organisaties die dit niet op orde hebben, lopen niet alleen technisch risico, maar ook juridisch. De vraag die een toezichthouder stelt, is niet alleen of een maatregel bestaat, maar of de werking ervan aantoonbaar is.

Leveranciers en ketenverantwoordelijkheid

Uitbesteding van IT verandert niets aan de eindverantwoordelijkheid. De Cyberbeveiligingswet verplicht organisaties om ketenrisico’s actief te beheersen. Dit betreft:

  • Selectie en beoordeling van leveranciers op beveiligingsniveau
  • Contractuele afspraken over beveiliging en audits
  • Transparantie over subverwerkers
  • Afgestemde procedures voor incidentafhandeling

Voor organisaties die IT-beheer, infrastructuur of werkplekomgevingen hebben uitbesteed aan een Managed Service Provider (MSP), zijn de volgende vragen dan ook direct relevant: welke garanties biedt die MSP op het gebied van NIS2-compliance? Welke auditrechten zijn contractueel vastgelegd? En wie meldt bij een incident?

NIS2 en DORA: de overlap die CIO's niet mogen missen

Voor CIO’s bij banken en verzekeraars is de verhouding tussen NIS2 en de Digital Operational Resilience Act (DORA) het meest complexe deel van de compliance-puzzel.

Voor financiële instellingen geldt DORA als het leidende regelgevingskader. Dat betekent dat de ICT-risicovereisten uit DORA grotendeels voorrang hebben op de overeenkomstige NIS2-verplichtingen. De toezichthouders hier zijn De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM).

Tegelijk vallen financiële instellingen ook onder NIS2 voor verplichtingen die DORA niet volledig dekt, zoals incidentmelding aan het NCSC en ketenverantwoordelijkheid buiten de directe financiële dienstverlening. De twee regimes overlappen, maar dekken elkaar niet volledig.

Praktisch betekent dit voor een CIO in de financiële sector:

  • Een security gap-assessment tussen de huidige IT-maatregelen en de vereisten onder zowel DORA als NIS2 is de eerste stap
  • Rapportage- en meldverplichtingen lopen via verschillende kanalen: DNB en AFM voor DORA, NCSC en CSIRT-DSP voor NIS2
  • Ketenverantwoordelijkheid geldt onder beide regimes, maar met eigen toezichtlogica

Een CIO bij een bank of verzekeraar die uitsluitend op DORA focust, mist daarmee een deel van de verplichtingen waarop onder NIS2 wordt gehandhaafd.

Samengevat: voorbereiding richting de Cyberbeveiligingswet

Voorbereiding vraagt om structurele keuzes die nu worden gemaakt, zoals:

  • Inventarisatie van IT-diensten en datastromen
  • Classificatie van data op basis van maatschappelijke en operationele impact
  • Een vastgelegde methodiek voor risicoanalyse
  • Afstemming tussen IT, security, legal en bestuur
  • Aansluiting op normen zoals ISO 27001

In een eerder artikel over de vertraging van NIS2 zijn we ingegaan op acties die organisaties direct kunnen ondernemen.

Deze stappen verkleinen juridische en operationele risico’s zodra de Cyberbeveiligingswet van kracht wordt.

Van voorbereiding naar meetbare beveiligingspositie

Weten welke stappen je moet zetten, is één ding. Weten waar je nu staat, is een ander. Juist dat inzicht ontbreekt bij veel organisaties: de beveiligingsmaatregelen bestaan, maar de aantoonbaarheid en prioritering schieten tekort.

Een security gap-assessment op basis van de CIS Controls (Center for Internet Security Controls) biedt hiervoor een gestructureerd vertrekpunt. Deze internationale norm brengt de huidige beveiligingspositie in kaart en maakt zichtbaar welke maatregelen ontbreken of onvoldoende zijn ingericht, geordend op impact en urgentie. Dat maakt het ook bruikbaar als input voor gesprekken op bestuursniveau: niet een technische inventarisatie, maar een geprioriteerde risicokaart.

Aanvullend geldt dat jaarlijkse penetratietests niet langer volstaan. De Cyberbeveiligingswet verwacht doorlopend inzicht in kwetsbaarheden, in de vorm van continue tests en scans die aansluiten op de snelheid waarmee dreigingen en IT-omgevingen veranderen.

De combinatie van een gap-assessment en continue testing resulteert in een preventie-roadmap die maatregelen structureert op vier niveaus: code, applicaties, infrastructuur en organisatie. Zo ontstaat een methodiek die niet alleen technisch dekkend is, maar ook aansluit op de eisen van NIS2 en sectorspecifieke regelgeving zoals DORA of de BIO. Solvinity biedt deze aanpak aan via dochteronderneming Securify, specifiek ingericht voor organisaties die aantoonbare compliance als vertrekpunt nemen.

Meer weten?

Wil je weten hoe de Cyberbeveiligingswet van toepassing is op de organisatie, wat de overlap is met DORA of de BIO, of hoe Solvinity (en Securify) als Managed Service Provider bijdraagt aan een aantoonbaar compliant IT-omgeving? Neem contact op met Tim Kooij, Commercieel Directeur bij Solvinity, of ga naar contact.

Lees ook

Meer berichten

Meer