In 2026 wordt in Nederland de Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen door de Cyberbeveiligingswet (Cbw). Deze wet is in feite de Nederlandse uitwerking van de Network and Information Security Directive (NIS2) die in Nederland op 1 juli 2026 van kracht wordt. Het belangrijkste doel is om de cyberveiligheid van een groot aantal sectoren te verbeteren, waarmee deze bedrijven weerbaarder worden tegen het nog steeds toenemende aantal cyberaanvallen door hackers. Onderzoek leert dat een groot deel van de bedrijven die onder de NIS2 vallen nog maatregelen moet nemen.

Cybersecurity (cyberbeveiliging) heeft betrekking op het beschermen van computers, netwerken, programma’s en gegevens. De bescherming is onder meer tegen digitale aanvallen, ongeoorloofde toegang of beschadiging door zogenaamde hackers. Wanneer bedrijven dit goed doen, kunnen ze de vertrouwelijkheid, integriteit en beschikbaarheid van digitale informatie waarborgen.
Bij de meeste grotere bedrijven is er aandacht voor cybersecurity. Bij kleinere bedrijven en het mkb ligt dit wat lastiger. Enerzijds omdat deze bedrijven menen dat zij geen doelwit zijn, anderzijds omdat zij onvoldoende financiële en menselijke capaciteit hebben om dit op orde te brengen. Toch is dit ook voor hen belangrijk. De praktijk leert inmiddels dat feitelijk ieder bedrijf een potentieel doelwit is voor hackers én dat AI het steeds eenvoudiger maakt om meerdere bedrijven gelijktijdig aan te vallen. Als de hackers zelf niet geïnteresseerd zijn in de data van het bedrijf, dan kunnen ze deze altijd nog blokkeren en geld vragen om de blokkade weer op te heffen.

Omdat de samenleving steeds meer digitaliseert en sectoren steeds meer onderling afhankelijk zijn, is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. De NIS2-richtlijn is de opvolger van de NIS-richtlijn die in heel Europa geldt. Deze oorspronkelijke versie richt zich op de cyberveiligheid van essentiële bedrijven zoals waterbedrijven, de financiële sector en digitale dienstaanbieders.
Als opvolger van de NIS legt de NIS2 een uitgebreidere focus op het verbeteren van de digitale en economische weerbaarheid van Europese lidstaten. Zo moeten tien extra sectoren aan de NIS2 voldoen. Hieronder vallen postdiensten, onderzoeksinstellingen, de productie van kritieke producten zoals medische hulpmiddelen, chemicaliën en voedsel en afvalbeheer. Maar ook digitale aanbieders van bijvoorbeeld social networking services. Daarnaast richt de NIS2 zich op het aanscherpen van opgelegde beveiligingseisen, de beveiliging van toeleveringsketens, het verbeteren en stroomlijnen van rapportageverplichtingen en het invoeren van handhavingsvereisten met geharmoniseerde sancties in alle Europese lidstaten.
Onder meer op de website van het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid (www.ncsc.nl) is te vinden welke bedrijven vanaf 1 juli onder de Cwb vallen. Deze bedrijven hebben onder meer een zorgplicht en meldplicht. Via een stappenplan – ook ruimschoots te vinden op het internet – is via een risicoanalyse of zelfscan vast te stellen waar het nog schort aan cyberveiligheid en zijn op basis van de uitkomsten maatregelen te nemen. Ook zijn er steeds meer bedrijven die hierin kunnen ondersteunen. Niet alleen om een maximale bescherming te realiseren, maar ook om bedrijven ‘agile’ te maken. Zodanig dat de schade na een aanval beperkt blijft en zij zo snel mogelijk weer verder kunnen.