NIS2 en de Cyberbeveiligingswet: checklist voor SaaS- en IT-bedrijven
NIS2 is in Nederland geland via de Cyberbeveiligingswet, die op 15 april 2026 door de Tweede Kamer is aangenomen met beoogde inwerkingtreding rond 1 juli 2026. Ook als je er niet direct onder valt, krijg je er als SaaS- of IT-bedrijf mee te maken: via je klanten. Deze checklist maakt concreet wat je moet regelen.
De Europese NIS2-richtlijn verplicht organisaties in essentiële en belangrijke sectoren tot beter cyberbeveiligingsbeheer. Nederland heeft dit geïmplementeerd via de Cyberbeveiligingswet. De kern bestaat uit drie plichten: een zorgplicht, een meldplicht en een registratieplicht.
Voor SaaS- en IT-bedrijven is de wet dubbel relevant. Digitale dienstverleners zoals cloud- en managed serviceproviders kunnen er direct onder vallen. En wie levert aan organisaties die eronder vallen, merkt het via de leveranciersketen: jouw klanten moeten hun toeleveranciers beoordelen en gaan dus eisen aan jou stellen.
Val je eronder?
Direct: check of je activiteiten in de aangewezen sectoren vallen, zoals digitale infrastructuur, cloudcomputing, managed services of ICT-dienstenbeheer, en of je boven de omvangdrempels uitkomt (grofweg: middelgroot of groter). De precieze afbakening staat in de wet en bijbehorende regelgeving; bij twijfel is een check door een specialist verstandig.
Indirect: lever je software of diensten aan ziekenhuizen, energiebedrijven, banken, overheden of andere organisaties die onder de wet vallen? Dan komt de zorgplicht van die klanten bij jou terecht in de vorm van security-eisen, contractclausules en questionnaires. In de praktijk is dit voor de meeste SaaS-startups het eerste contactmoment met NIS2.
De drie plichten
Zorgplicht: passende technische en organisatorische maatregelen nemen om risico's voor netwerk- en informatiesystemen te beheersen. Denk aan risicoanalyse, incidentafhandeling, bedrijfscontinuïteit en beveiliging van de toeleveringsketen.
Meldplicht: significante incidenten melden bij de toezichthouder, met korte termijnen voor een eerste melding. Dat vereist dat je incidenten überhaupt tijdig detecteert en een intern proces hebt om te beoordelen en te escaleren. Voor een SaaS-team betekent dit concreet: monitoring en alerting die 's nachts ook werkt, en vooraf weten wie belt en wie meldt.
Registratieplicht: organisaties die onder de wet vallen, moeten zich registreren bij de bevoegde autoriteit, zodat de toezichthouder weet wie er onder het regime valt.
De 8-punts checklist
1. Bepaal of je direct onder de Cyberbeveiligingswet valt en registreer je indien nodig. 2. Breng je klantenbestand in kaart: welke klanten vallen eronder en welke eisen volgen daaruit? 3. Voer een risicoanalyse uit op je eigen systemen en leg die vast. 4. Regel de basis: MFA overal, patchbeleid, backups die je periodiek test, encryptie van data in rust en transit.
5. Zet een incident-responseproces op papier: wie beoordeelt, wie meldt, binnen welke termijn, en oefen het minstens één keer. 6. Beoordeel je eigen leveranciers en sub-verwerkers, want de keteneis geldt ook voor jou. 7. Wijs een verantwoordelijke aan op directieniveau; het bestuur is aanspreekbaar op cyberbeveiliging. 8. Documenteer alles: maatregelen die niet vastliggen, tellen richting klant en toezichthouder niet mee.
Wat enterprise-klanten nu al vragen, en de link met ISO 27001
Enterprise-klanten wachten niet op handhaving. In RFP's en security reviews zie je nu al vragen naar incident-responsetijden, ketenbeveiliging, NIS2-readiness en contractuele meldtermijnen die scherper zijn dan de wet. Wie hierop een volwassen antwoord heeft, verkort zijn salescyclus; wie improviseert, valt af.
Goed nieuws: er is grote overlap met ISO 27001. Een werkend ISMS dekt een flink deel van de zorgplicht af, inclusief risicoanalyse, incidentproces en leveranciersmanagement. ISO 27001 is geen automatisch bewijs van NIS2-compliance, maar wel de meest herbruikbare basis. Twijfel je of en hoe de wet op jouw bedrijf van toepassing is, raadpleeg dan een jurist of security-adviseur; dat voorkomt zowel onderschatting als onnodig zware maatregelen.
Veelgestelde vragen
Valt mijn SaaS-bedrijf onder NIS2?
Dat hangt af van je activiteiten en omvang. Cloud- en managed serviceproviders en andere digitale dienstverleners kunnen direct onder de Cyberbeveiligingswet vallen, doorgaans vanaf middelgrote omvang. Val je er niet direct onder, dan krijg je de eisen vaak alsnog via klanten die wél onder de wet vallen. Check de sectorlijst en drempels, en raadpleeg bij twijfel een specialist.
Wanneer gaat de Cyberbeveiligingswet in?
De Tweede Kamer heeft de Cyberbeveiligingswet op 15 april 2026 aangenomen, met beoogde inwerkingtreding rond 1 juli 2026. De wet implementeert de Europese NIS2-richtlijn in Nederland en bevat een zorgplicht, meldplicht en registratieplicht.
Is ISO 27001 genoeg om aan NIS2 te voldoen?
Nee, niet automatisch. ISO 27001 dekt een groot deel van de zorgplicht af en is een sterke basis, maar de Cyberbeveiligingswet kent ook eigen verplichtingen zoals de meldplicht bij de toezichthouder en de registratieplicht. Zie ISO 27001 als fundament en vul aan waar de wet meer vraagt.