Aan de vooravond van 2026 is cybersecurity een onmisbare prioriteit voor organisaties, ongeacht sector of schaalgrootte. De opkomst van nieuwe digitale bedreigingen, het gebruik van kunstmatige intelligentie voor zowel aanvallen als bescherming, en het steeds omvangrijkere Europese regelgevingslandschap vereisen dat organisaties hun digitale weerbaarheid grondig en duurzaam versterken. Daarbij ligt de focus niet uitsluitend op technologische oplossingen; juist op het vlak van organisatie, naleving van wetgeving en contractuele afspraken worden strengere eisen gesteld door zowel wetgevers als de maatschappij. Dit betekent dat de verantwoordelijkheid voor cybersecurity steeds meer bij bedrijfsjuristen terechtkomt.

A Europe fit for the Digital Age

Nog in het vorige decennium lanceerde de Europese Commissie haar digitale strategie onder het motto ‘A Europe fit for the Digital Age’. Met deze strategie werd onder meer een omvangrijk pakket aan wet- en regelgeving uitgedacht om de digitale weerbaarheid van Europa te versterken. Dit pakket omvat onder meer NIS2, DORA, CRA, AI Act en de Data Act. Samen vormen deze wetten een geïntegreerd en onderling verbonden raamwerk dat de Europese digitale ruimte veiliger, betrouwbaarder en toekomstbestendig moet maken. Waar eerdere regelgeving vaak meer reactief van aard was, richt het nieuwe beleid zich nadrukkelijk op preventie, transparantie en samenwerking tussen publieke en private actoren. In december 2025 heeft de Europese Commissie daar nog een extra aanzet toe gemaakt middels het voorstel voor een Digitale Omnibusverordening.

Binnen dit geheel neemt NIS2 een sleutelpositie in. NIS2 wordt momenteel geïmplementeerd in nationale wetgeving. In Nederland wordt dit vormgegeven door de Cyberbeveiligingswet (Cbw), waarvoor het voorstel in de zomer van 2025 aan de Tweede Kamer is gestuurd. De Cbw zal diverse onderliggende wet- en regelgeving kennen, onder andere in het Cyberbeveiligingsbesluit (Cbb) met uitwerking van de zorgplicht, registratieplicht en opleidingsplicht voor bestuurders, alsmede ministeriele regelingen. Naar huidige verwachting zal de Cbw in het tweede kwartaal van 2026 in werking treden, waarmee zij Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen.

Hoewel de verplichtingen die zijn neergelegd in NIS2 pas formeel gaan gelden als de Cbw van kracht is, doen organisaties er goed aan om nu al in actie te komen. De komende periode zal immers in het teken staan van voorbereiding en implementatie. De wet introduceert een aantal concrete verplichtingen, zoals het uitvoeren van risicoanalyses, het herzien van governance-structuren en het contractueel vastleggen van verantwoordelijkheden richting leveranciers en klanten.

Daarnaast kunnen verschillende sectoren te maken krijgen met aanvullende, sectorspecifieke eisen, afhankelijk van de aard van hun dienstverlening en de mate van maatschappelijke impact. Organisaties die in meerdere sectoren actief zijn of onderdeel uitmaken van een internationale groep, kunnen daardoor meerdere kaders aan verplichtingen te maken krijgen.

Toepassingsbereik

Een belangrijk onderdeel van NIS2 is de afbakening van het toepassingsbereik en de daarin geldende verplichtingen. De richtlijn maakt, afhankelijk van de sector (Bijlage I of II) en de omvang van de organisatie, een onderscheid tussen essentiële en belangrijke entiteiten. Dit onderscheid komt in de praktijk voornamelijk tot uiting in het toezichtregime, dat voor essentiële entiteiten omvangrijker is dan voor belangrijke entiteiten. Voor entiteiten die actief zijn in specifieke digitale sectoren worden de zorgplicht en meldplicht nader geconcretiseerd in de Uitvoeringsverordening (EUR) 2024/2690.

Het is voor bedrijfsjuristen cruciaal om te starten bij het bepalen onder welke sector(en) hun organisatie valt. Een entiteit of een groep entiteiten kan immers verschillende diensten leveren en daardoor onder meerdere regimes tegelijk vallen. Het is daarbij belangrijk om objectief naar de dienst te kijken en niet uit te gaan van de sector waarin de organisatie beoogt te vallen. Bepalend zijn de feitelijke activiteiten.

Complexe bedrijfsmodellen
Bij groepsentiteiten kan deze oefening redelijk complex worden, zeker wanneer vervolgens de jurisdictie bepaald moet worden. NIS2 kent als hoofdregel dat een entiteit valt onder de jurisdictie van de lidstaat waar die gevestigd is. Deze hoofdregel kent echter een uitzondering indien er sprake is van – kort gezegd – een digitale dienstverlener. Deze vallen onder de jurisdictie van hun hoofdvestiging. Voor het bepalen van de hoofdvestiging kent NIS2 een stappenplan om op de juiste entiteit uit te komen. Gelet op de complexiteit die dit in de praktijk met zich mee kan brengen heeft de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) een ‘Handreiking complexe bedrijfsmodellen’ opgesteld om organisaties te ondersteunen in deze beoordeling.

Zorgplicht in de keten
De verplichtingen die voortvloeien uit NIS2 zijn niet enkel van toepassing op de aangewezen essentiële en belangrijke entiteiten; ze hebben ook invloed op de bredere keten van leveranciers, dienstverleners en klanten van deze organisaties. Door de zogeheten ketenzorgplicht—de verplichting om beveiligingsmaatregelen contractueel door te geven—worden deze partijen eveneens indirect verplicht om passende beveiligingsmaatregelen te nemen en heldere afspraken te maken over informatiebeveiliging, auditmogelijkheden, het melden van incidenten en de integriteit van data. Dit betekent dat bestaande contracten moeten worden herzien en dat er nauwere samenwerking nodig is tussen alle betrokken partijen. Iedere partij binnen de keten moet zijn eigen rol vaststellen, de relevante risico’s identificeren en tijdig inspelen op toekomstige verplichtingen.

Kern van NIS2: de zorgplicht

De zorgplicht is het hart van NIS2 en verplicht organisaties in essentie om beveiligingsmaatregelen op orde te hebben. 

Deze versturen we 3-4x per jaar.