NIS2 & de CBV in de praktijk - wat compliance níet vertelt
Een afgevinkte checklist heeft nog nooit een aanvaller tegengehouden. Wij onderzoeken wat er gebeurt nádat het misgaat — en helpen u voorkomen dat u daar terechtkomt.
2026 in werking
eerste melding
max. boete*
*Voor essentiële entiteiten: tot €10 mln of 2% van de wereldwijde jaaromzet (hoogste geldt).
- Remove the current class from the content27_link item as Webflows native current state will automatically be applied.
- To add interactions which automatically expand and collapse sections in the table of contents select the content27_h-trigger element, add an element trigger and select Mouse click (tap)
- For the 1st click select the custom animation Content 27 table of contents [Expand] and for the 2nd click select the custom animation Content 27 table of contents [Collapse].
- In the Trigger Settings, deselect all checkboxes other than Desktop and above. This disables the interaction on tablet and below to prevent bugs when scrolling.
Compliance op papier, chaos in werkelijkheid
"IT had het toch geregeld?"
Na een ransomware-aanval bleek het bestuur ervan uit te gaan dat de back-ups werkten. Ze waren al weken stuk. Herstel duurde dagen in plaats van uren.
Eén leverancier, veertig slachtoffers
Een gecompromitteerde service provider trok in één klap tientallen klanten mee. Allemaal tegelijk in scope van hetzelfde meldplicht-incident.
Kantoor en fabriek niet gescheiden
Eén besmette mailbijlage legde de productielijn plat, omdat het kantoornetwerk niet was afgeschermd van de fabrieksvloer (OT).
Wij komen op de slechtste dag en weten wat werkt
Onderzochte incidenten
Incident response piket
Reactietijd bij retainer
De klok begint te tikken bij detectie
Een early warning naar het CSIRT / de toezichthouder — onverwijld, uiterlijk binnen 24 uur.
Een eerste beoordeling van aard, ernst en impact van het incident.
Een uitgebreid eindrapport met oorzaak, maatregelen en gevolgen.
Van verplichting naar weerbaarheid
Eenmalig traject (2–3 weken) dat uw weerbaarheid toetst tegen de praktijk en een geprioriteerd actieplan oplevert.
24/7 piket met vaste SLA. Als het misgaat staat ons DFIR-team direct klaar — geen kostbare zoektocht tijdens een crisis.
Een realistische oefening voor bestuur én team. U ontdekt waar uw plan breekt vóórdat een aanvaller dat doet.
Valt mijn organisatie onder NIS2/CBV?
Veel organisaties weten niet eens dát ze in scope zijn. Doe de snelle check.
NIS2 & CBV — kort uitgelegd
Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet?
NIS2 is de Europese richtlijn; de Cyberbeveiligingswet (CBV) is de Nederlandse wet die NIS2 omzet naar nationale regelgeving. In de praktijk gaat het om dezelfde verplichtingen, vastgelegd in Nederlands recht.
Wanneer treedt de wet in werking?
De Tweede Kamer nam het wetsvoorstel aan op 15 april 2026. De wet ligt nu bij de Eerste Kamer en treedt naar verwachting per 1 juli 2026 in werking, samen met de Wet weerbaarheid kritieke entiteiten.
Wat is een 'significant incident'?
Kort gezegd: een incident dat de dienstverlening ernstig (kan) verstoren of grote (financiële) schade veroorzaakt. De exacte drempels worden nader uitgewerkt in lagere regelgeving per sector. Wij helpen u bepalen wat voor úw organisatie meldplichtig is.
Geldt dit ook voor mijn MSP / leveranciers?
Ja — managed service providers vallen nu zélf onder de wet. Daarnaast bevat de zorgplicht een component voor uw toeleveringsketen: u moet ook risico's bij leveranciers beheersen.
Wat als we de deadline niet halen?
De toezichthouder kijkt of u aantoonbaar serieuze, passende stappen zet. Niets doen is het grootste risico. Begin, documenteer uw keuzes en bouw stap voor stap verder — daar helpen wij bij.
Executive briefing NIS2/CBV
Weerbaarheid test je niet pas tijdens de aanval
Plan een vrijblijvend gesprek. We kijken samen waar u staat en wat uw belangrijkste eerste stap is.
