NIS2-deadline: wanneer treedt de Cyberbeveiligingswet in werking?
Wanneer wordt NIS2 van kracht in Nederland? De Cyberbeveiligingswet wordt verwacht op 1 juli 2026. Bekijk de volledige tijdlijn, alle deadlines na inwerkingtreding en wat je nú moet doen.
De meest gestelde vraag over NIS2 is tegelijk de simpelste: wanneer treedt de wet eigenlijk in werking? Hieronder het korte antwoord, de volledige tijdlijn, en de deadlines die ná inwerkingtreding voor je gaan gelden.
Het korte antwoord
De Nederlandse Cyberbeveiligingswet — de implementatie van de Europese NIS2-richtlijn — wordt verwacht op 1 juli 2026, met een beoogde inwerkingtreding in Q2 2026. Die datum is een streefdatum: het wetsvoorstel ligt bij de Eerste Kamer en de exacte ingangsdatum kan nog schuiven.
Belangrijk: "de datum staat nog niet vast" is geen reden om te wachten. Compliance opbouwen kost maanden — zie verderop waarom. Wil je weten of je eronder valt? Doe de gratis NIS2-check.
De volledige tijdlijn
| Moment | Wat gebeurt er |
|---|---|
| Eind 2022 | De EU neemt de NIS2-richtlijn aan |
| 17 oktober 2024 | Officiële EU-deadline voor omzetting in nationale wet — door Nederland niet gehaald |
| 15 april 2026 | De Tweede Kamer stemt in met de Cyberbeveiligingswet én de Wet weerbaarheid kritieke entiteiten (CER) |
| Daarna | Behandeling in de Eerste Kamer; ministeriële regelingen worden uitgewerkt |
| Q2 2026 — verwacht 1 juli 2026 | Beoogde inwerkingtreding van de Cyberbeveiligingswet |
Een uitgebreide duiding van de Kamerstemming lees je in Tweede Kamer neemt Cyberbeveiligingswet aan.
Waarom heeft Nederland de EU-deadline gemist?
De oorspronkelijke Europese deadline was 17 oktober 2024. Net als veel andere lidstaten haalde Nederland die niet — het wetgevingstraject, de adviezen van de Raad van State en de uitwerking van de onderliggende regelgeving kostten meer tijd. Het gevolg is dat de Cyberbeveiligingswet zo'n anderhalf jaar later in werking treedt dan Brussel bedoelde. Dat betekent níét dat de verplichtingen lichter zijn geworden.
Welke deadlines gelden ná inwerkingtreding?
Zodra de wet van kracht is, krijg je als entiteit drie soorten verplichtingen, elk met hun eigen termijnen:
- Registratieplicht — entiteiten die onder de wet vallen, moeten zich melden bij de toezichthouder. Hiervoor geldt een registratievenster na inwerkingtreding.
- Zorgplicht — passende technische en organisatorische maatregelen treffen. Dit geldt direct; er is geen ruime "wenperiode" om de basis op orde te krijgen.
- Meldplicht voor incidenten — significante incidenten moeten snel gemeld worden, volgens een getrapt schema:
| Termijn | Wat je moet doen |
|---|---|
| Binnen 24 uur | Een eerste vroege waarschuwing (early warning) bij de toezichthouder |
| Binnen 72 uur | Een volledige incidentmelding met de bekende details |
| Binnen 1 maand | Een eindrapport met oorzaak, impact en getroffen maatregelen |
Betekent een latere ingangsdatum dat je kunt wachten?
Nee — en dat is de belangrijkste boodschap. Drie redenen:
- Compliance kost maanden, geen weken. Sta je nu op nul, reken dan op 6 tot 12 maanden om de tien zorgplichtmaatregelen op te bouwen. Met een inwerkingtreding rond 1 juli 2026 is dat venster al krap.
- Naar schatting 8.000–10.000 organisaties komen tegelijk onder de wet te vallen. Auditors, consultants en leveranciers raken vol; vroege starters hebben de keuze, late starters betalen meer.
- Klanten vragen er nu al naar. Grote opdrachtgevers die onder NIS2 vallen, sturen hun leveranciers nu al vragenlijsten — los van de officiële datum. Lees daarover NIS2 als toeleverancier.
Wat je nu al kunt doen
- Bepaal of je onder NIS2 valt met de gratis NIS2-check, of lees Val ik onder NIS2?.
- Meet je huidige rijpheid met de gratis gap-analyse tegen de tien NCSC-zorgplichtmaatregelen.
- Pak de basis met onze whitepaper: de 10 stappen naar NIS2-compliance.
- Betrek je directie — NIS2 maakt bestuurders persoonlijk aansprakelijk.
Begin vandaag. Doe de gratis NIS2-check en daarna de gap-analyse — binnen een half uur weet je waar je staat en wat je deadline in de praktijk betekent.
Veelgestelde vragen
Wanneer treedt de Cyberbeveiligingswet (NIS2) in werking? De Cyberbeveiligingswet wordt verwacht op 1 juli 2026, met een beoogde inwerkingtreding in Q2 2026. Het wetsvoorstel ligt bij de Eerste Kamer; de exacte datum is een streefdatum en kan nog verschuiven.
Is 1 juli 2026 een definitieve datum? Nee, het is de streefdatum van de regering. Tot de wet is gepubliceerd in het Staatsblad staat de precieze ingangsdatum niet onomstotelijk vast. De richting — inwerkingtreding in 2026 — is wel duidelijk.
Waarom is NIS2 in Nederland zo laat? De EU-deadline voor omzetting was 17 oktober 2024, maar Nederland haalde die niet door de duur van het wetgevingstraject. De verplichtingen zelf zijn daardoor niet veranderd of versoepeld.
Geldt er een overgangsperiode om compliant te worden? Er is geen ruime wenperiode voor de zorgplicht: die geldt vanaf inwerkingtreding. Voor de registratie geldt wel een meldvenster. Omdat compliance maanden kost, is wachten tot de wet er is geen verstandige strategie.
Binnen welke termijn moet ik een incident melden? Volgens NIS2 geldt een getrapt schema: een eerste waarschuwing binnen 24 uur, een volledige melding binnen 72 uur, en een eindrapport binnen één maand.
Hoeveel Nederlandse organisaties vallen straks onder NIS2? Naar schatting 8.000 tot 10.000 organisaties vallen direct onder de Cyberbeveiligingswet — fors meer dan de circa 100 onder de huidige Wbni. Daarnaast krijgen nog tienduizenden MKB-bedrijven er indirect mee te maken via hun klanten.
Gratis whitepaper · 12 pagina's
De 10 stappen naar NIS2-compliance
Per maatregel: wat het is, concrete acties, en de valkuil. Direct als PDF in je inbox.
Vraag de whitepaper aanBlijf op de hoogte van NIS2
Periodiek de belangrijkste updates over de Cyberbeveiligingswet, plus praktische tips voor het MKB. Geen spam, uitschrijven kan altijd.
Door je in te schrijven ga je akkoord met onze verwerking van je e-mailadres. Geen spam, makkelijk uitschrijven.