‘Als partner van het NIS2 Quality Mark, helpt AuditConnect uw organisatie op weg naar een veilige digitale toekomst.’

Wat is de NIS2-richtlijn?

De NIS2-richtlijn is geïntroduceerd door de EU en heeft één duidelijk doel: het versterken van de digitale weerbaarheid in Europa. Door strengere eisen voor risicobeheer, incidentmelding en ketenverantwoordelijkheid helpt NIS2 organisaties om cyberdreigingen beter te voorkomen, te detecteren en aan te pakken

In Nederland wordt de NIS2-richtlijn geïmplementeerd als de Cyberbeveiligingswet (CbW). Vanaf het tweede kwartaal van 2026 verwachten we dat de Cyberbeveiligingswet wordt ingevoerd en moeten bepaalde organisaties aan strengere beveiligingseisen voldoen voor hun netwerk- en informatiesystemen. Dit betekent dat ook hun leveranciers, vaak mkb-bedrijven, zich moeten conformeren aan deze wet.

Belangrijke punten uit de Cyberbeveiligingswet

• Zorgplicht: Organisaties moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen.
• Meldplicht: Incidenten die de continuïteit van dienstverlening aanzienlijk kunnen verstoren, moeten binnen 24 uur worden gemeld bij de toezichthouder (in Nederland de NCSC).
• Toezicht: Organisaties die onder de wet vallen, krijgen verplicht toezicht.

Is de Cyberbeveiligingswet relevant voor mijn organisatie?

Of u aan de Cyberbeveiligingswet moet voldoen, hangt af van verschillende factoren:

• Sector: De Cyberbeveiligingswet is van toepassing op organisaties die essentiële diensten leveren in sectoren zoals energie, transport, gezondheidszorg, financiële markten en digitale infrastructuur. Ook belangrijke aanbieders van digitale diensten en ICT‑diensten vallen onder deze richtlijn.
• Grootte van de organisatie: De wet richt zich voornamelijk op grote bedrijven, maar ook kleinere organisaties kunnen onder de wet vallen als zij een cruciale rol spelen in de toeleveringsketen van essentiële diensten.
• Risico’s en impact: Organisaties die een significante invloed hebben op de continuïteit van essentiële diensten of die aanzienlijke cyberrisico’s lopen, moeten voldoen aan de wettelijke verplichtingen.

Ook als uw organisatie niet rechtstreeks onder de Cyberbeveiligingswet valt, zult u er waarschijnlijk mee in aanraking komen. Soms door eigen verplichtingen, soms door eisen van ketenpartners.

Wij hebben al een ISO 27001 certificaat: voldoe ik dan automatisch aan de Cyberbeveiligingswet?

Nee. Veel organisaties denken dat ze met hun ISO 27001 certificaat klaar zijn voor de Cyberbeveiligingswet, maar dat is vaak niet het geval. ISO 27001 biedt een goede basis, het is een internationale norm die beschrijft hoe je informatiebeveiliging structureel organiseert via een ISMS (Information Security Management System). Met andere woorden je bent gecertificeerd voor een werkend managementsysteem voor informatiebeveiliging . De Cyberbeveiligingswet gaat verder: alle kritieke netwerk- en informatiesystemen moeten worden beschermd, zonder uitzonderingen. Er geldt een meldplicht (binnen 24 uur) bij ernstige incidenten, er is sprake van toezicht en mogelijke sancties bij niet-naleving. Bovendien legt de wet expliciete verantwoordelijkheden op, waarbij het management eindverantwoordelijk is.

Waarvoor dient het NIS2 Quality Mark?

Zoals eerder op deze pagina beschreven, komt er toezicht op naleving van de wet, maar ook klanten zullen strengere eisen stellen. Om aantoonbaar te maken dat uw organisatie voldoet, is er de NIS2 Quality Mark-certificering: een haalbare norm voor het mkb. Hiermee laat u zien dat u een betrouwbare en veilige leverancier bent. Bedrijven die het NIS2 Quality Mark behalen, tonen aan dat zij voldoen aan de strengere eisen van de NIS2-richtlijn. Dit keurmerk maakt het bovendien eenvoudiger om een cyberverzekering af te sluiten. Ook banken kijken hiernaar bij het verstrekken van kredieten aan mkb-bedrijven. Bij verkoop van uw bedrijf is cybersecurity inmiddels een vast onderdeel van de risicoanalyse.

De certificering is verdeeld in drie niveaus:

QM10 BASIC: Voor mkb’s met beperkte risico’s.

QM20 SUBSTANTIAL: Voor bedrijven met verhoogde risico’s door hun rol of toegang tot gevoelige gegevens.

QM30 HIGH: Voor kritieke bedrijven in de toeleveringsketen die een significant risico vormen bij een cyberincident.

Het meest gebruikte certificaat is het NIS2-QM10 Basic. Het juiste certificaat hangt af van het risico dat uw bedrijf vormt. Hoe groter de impact van uw producten of diensten, hoe groter het risico en hoe hoger de norm die u moet behalen. Voor de meeste mkb-bedrijven is NIS2-QM10 voldoende, maar als een bedrijf toegang heeft tot zeer gevoelige gegevens of moeilijk vervangbare producten levert, kan een hogere norm (zoals QM20 of QM30) vereist zijn.

Wilt u weten of de Cyberbeveiligingswet op uw organisatie van toepassing is? Ga in gesprek met een van onze consultants of doe de gratis ‘NIS2 Zelfevaluatie NL’. Zo krijgt u direct inzicht in uw situatie en vervolgstappen.