06 Feb 2026
Van IT-security naar OT: de volgende stap in cyberweerbaarheid
Als COO in de wereld van cybersecurity zie ik vaak dat nieuwe wetten voor onrust zorgen. De Europese NIS 2-richtlijn (in Nederland de Cybersecuritywet) is daar een goed voorbeeld van. Veel mensen denken meteen aan papierwerk of sancties. Maar als we even door de moeilijke tekst heen kijken, zien we iets anders: een kans om de security-basis van uw bedrijf echt goed te regelen.
Waarom deze nieuwe regels?
De wereld om ons heen verandert. We zijn digitaal sterker met elkaar verbonden dan ooit. Dat is handig, maar ook een risico. Als er bij één bedrijf iets misgaat door een hack, kan de hele keten daar last van hebben. Denk aan een transportbedrijf dat niet kan rijden, waardoor de winkels leeg blijven. De nieuwe wet zorgt ervoor dat we allemaal dezelfde lat leggen voor veiligheid. Het doel? Ervoor zorgen dat belangrijke diensten, zoals onze stroom, ons water en onze zorg, altijd blijven werken. Als je wil weten waar uw organisatie aan toe is, zijn dit vijf punten die ertoe doen:
1. De Registratieplicht: jezelf op de kaart zetten
Valt je organisatie onder de wet? Dan ben je verplicht om je te registreren in een centraal register. In Nederland doe je dit bij het Nationaal Cyber Security Centrum (NCSC). Hiermee krijgt de overheid inzicht in welke organisaties essentieel zijn en wie er ondersteuning nodig heeft bij grote digitale dreigingen.
2. De Zorgplicht: je digitale huis op orde
De zorgplicht is de belangrijkste taak. Je moet aantoonbaar maatregelen nemen om je netwerken en systemen te beschermen. Dit betekent onder andere:
- Het maken van een risicoanalyse: wat kan er misgaan?
- Plannen maken voor bedrijfscontinuïteit: hoe blijven we draaien na een hack?
- De beveiliging van uw toeleveringsketen: hoe veilig werken je leveranciers?
3. De Meldplicht: snelheid is geboden
Bij een groot incident dat je diensten kan verstoren, mag je niet afwachten. Je hebt een meldplicht die in stappen verloopt:
- Binnen 24 uur: een eerste waarschuwing naar het NCSC, die deelt dit met de toezichthouder en het CSIRT (Computer Security Incident Response Team) dat voor je organisatie is aangewezen.
- Binnen 72 uur: een uitgebreidere melding met meer details.
- Na één maand: een eindverslag over wat er precies is gebeurd en wat je hebt geleerd.
4. Training voor bestuurders: kennis aan de top
Dit is een cruciaal punt: de wet verplicht bestuurders om een training te volgen. Waarom? Omdat je cybersecurity-risico's moet kunnen herkennen en beoordelen. Je hoeft geen technicus te worden, maar je moet wel de juiste vragen kunnen stellen aan je IT-afdeling of CISO. Het bestuur is namelijk eindverantwoordelijk voor het goedkeuren van de beveiligingsmaatregelen.
5. Toezicht en Handhaving: de controleur aan de deur
Een veelgehoorde foutieve aanname is dat de Rijksinspectie Digitale Infrastructuur (RDI) de enige toezichthouder is. Dat klopt niet. Nederland gebruikt een 'sectorale aanpak'. Wie uw toezichthouder is, hangt af van je sector:
· Voor de zorg is dat bijvoorbeeld de Inspectie Gezondheidszorg en Jeugd (IGJ).
· Voor transport en drinkwater is dat de Inspectie Leefomgeving en Transport (ILT).
· De RDI houdt toezicht op onder andere de digitale infrastructuur en de maakindustrie.
Let op het verschil: Voor 'essentiële' bedrijven is het toezicht proactief (vooraf en regelmatig) en reactief. Voor 'belangrijke' bedrijven is het toezicht reactief (meestal pas na een incident of klacht).
Geldt dit ook voor jou?
De wet is er voor veel verschillende sectoren. Denk aan energie en vervoer, maar ook aan de productie van voedsel of financiële diensten. Het is een misverstand dat de wet alleen voor enorme bedrijven is. Ook als kleiner bedrijf kan je onder de wet vallen als uw rol in de keten heel belangrijk is.
Tip: op de website digitaleoverheid.nl vind je hulpmiddelen om te checken of jouw bedrijf bij deze groep hoort.
Heb je hulp nodig met NIS2-compliance? Bekijk onze NIS2-dienstverlening of neem direct contact met ons op.
