Back to Home

NIS2 & CBV in de praktijk - wat compliance níet vertelt

Een afgevinkte checklist heeft nog nooit een aanvaller tegengehouden. Wij onderzoeken wat er gebeurt nádat het misgaat en helpen u voorkomen dat u daar terechtkomt.

Doe de gratis readiness check
De Cyberbeveiligingswet in cijfers
1 jul

2026 in werking

24u

eerste melding

€10M

max. boete*

*Voor essentiële entiteiten: tot €10 mln of 2% van de wereldwijde jaaromzet (hoogste geldt).

Instructions
If you intend to use this component with Finsweet's Table of Contents attributes follow these steps:
  1. Remove the current class from the content27_link item as Webflows native current state will automatically be applied.
  2. To add interactions which automatically expand and collapse sections in the table of contents select the content27_h-trigger element, add an element trigger and select Mouse click (tap)
  3. For the 1st click select the custom animation Content 27 table of contents [Expand] and for the 2nd click select the custom animation Content 27 table of contents [Collapse].
  4. In the Trigger Settings, deselect all checkboxes other than Desktop and above. This disables the interaction on tablet and below to prevent bugs when scrolling.
30 seconden

Valt mijn organisatie onder NIS2/CBV?

Veel organisaties weten niet eens dát ze in scope zijn. Doe de snelle check.
Selecteer uw sector
Kies een sector
Energie / Drink / Water
Waarschijnlijk een essentiële entiteit.

U valt vrijwel zeker onder de strengste categorie van de CBV — met proactief toezicht en de hoogste boetecategorie. Laat uw scope en zorgplicht bevestigen.

Transport (lucht, spoor, weg, water)
Waarschijnlijk een essentiële entiteit.

U valt vrijwel zeker onder de strengste categorie van de CBV — met proactief toezicht en de hoogste boetecategorie. Laat uw scope en zorgplicht bevestigen.

Gezondheidszorg
Waarschijnlijk een essentiële entiteit.

U valt vrijwel zeker onder de strengste categorie van de CBV — met proactief toezicht en de hoogste boetecategorie. Laat uw scope en zorgplicht bevestigen.

Digitale infrastructuur / datacenters / DNS
Waarschijnlijk een essentiële entiteit.

U valt vrijwel zeker onder de strengste categorie van de CBV — met proactief toezicht en de hoogste boetecategorie. Laat uw scope en zorgplicht bevestigen.

Bankwezen / financiële markt
Waarschijnlijk een essentiële entiteit.

U valt vrijwel zeker onder de strengste categorie van de CBV — met proactief toezicht en de hoogste boetecategorie. Laat uw scope en zorgplicht bevestigen.

Industrie / productie / machinebouw
Waarschijnlijk een belangrijke entiteit.

U valt naar verwachting onder de CBV met zorg-, meld- en registratieplicht. Dit is de grootste groep nieuw-verplichte organisaties.

Logistiek / post- en koeriersdiensten
Waarschijnlijk een belangrijke entiteit.

U valt naar verwachting onder de CBV met zorg-, meld- en registratieplicht. Dit is de grootste groep nieuw-verplichte organisaties.

Levensmiddelen (productie/distributie)
Waarschijnlijk een belangrijke entiteit.

U valt naar verwachting onder de CBV met zorg-, meld- en registratieplicht. Dit is de grootste groep nieuw-verplichte organisaties.

Digitale aanbieders / SaaS / marktplaatsen
Waarschijnlijk een belangrijke entiteit.

U valt naar verwachting onder de CBV met zorg-, meld- en registratieplicht. Dit is de grootste groep nieuw-verplichte organisaties.

Managed Service Providers (MSP / MSSP)
Waarschijnlijk een belangrijke entiteit.

U valt naar verwachting onder de CBV met zorg-, meld- en registratieplicht. Dit is de grootste groep nieuw-verplichte organisaties.

Andere sector / weet ik niet zeker
Mogelijk in scope — laat het bevestigen.

Scope hangt ook af van omvang en activiteiten. Wij geven u binnen één gesprek uitsluitsel.

Voor wie

Twee verantwoordelijkheden in één wet

NIS2/CBV raakt de bestuurskamer én het security-team. Kies uw perspectief.
Voor bestuurders & directie
Voor CISO's & security-leads
Persoonlijke aansprakelijkheid

Als bestuur bent u verantwoordelijk voor de zorgplicht — niet langer alleen de IT-afdeling.

Financieel én reputatierisico

Boetes lopen op tot €10 mln of 2% omzet. Eén dag downtime kost vaak meer dan een jaar voorbereiding.

Beslissingen onder druk

Bij een significant incident telt elk uur. Weet uw bestuur wat het in de eerste 24 uur moet beslissen?

Trainingsplicht

De wet verplicht bestuurders zich te laten bijscholen over cyberrisico's en -maatregelen.

Board-briefing — 30 minuten

Een heldere sessie voor uw bestuur: wat de CBV concreet van u vraagt, waar uw grootste risico's zitten, en welke beslissingen u nú moet nemen.

Plan een board-briefing
Zorgplicht aantoonbaar maken

Passende technische, operationele en organisatorische maatregelen — en die kunnen onderbouwen richting toezichthouder.

Meldketen die écht werkt

24u eerste waarschuwing, 72u inhoudelijke melding, 1 maand eindverslag. Wie doet wat, wanneer?

Detectie & response-readiness

Niet of u een EDR heeft, maar of u een aanvaller op tijd zíet en kunt indammen.

Getest, niet aangenomen

Een tabletop-oefening laat zien waar uw plan in de praktijk breekt — vóórdat een aanvaller het doet.

NIS2-readiness assessment

Wij toetsen uw weerbaarheid tegen de praktijk van echte aanvallen en leveren een concreet, geprioriteerd actieplan — geen rapport voor in de la.

Plan een assessment
Wat we zien in de praktijk

Compliance op papier, chaos in werkelijkheid

Geanonimiseerde voorbeelden uit onze incident-onderzoeken. Herkenbaar?
Essentiële entiteit · energie
"IT had het toch geregeld?"

Na een ransomware-aanval bleek het bestuur ervan uit te gaan dat de back-ups werkten. Ze waren al weken stuk. Herstel duurde dagen in plaats van uren.

18 uur productie stil
MSP · digitale dienstverlening
Eén leverancier, veertig slachtoffers

Een gecompromitteerde service provider trok in één klap tientallen klanten mee. Allemaal tegelijk in scope van hetzelfde meldplicht-incident.

40+ klanten geraakt
Belangrijke entiteit · industrie
Kantoor en fabriek niet gescheiden

Eén besmette mailbijlage legde de productielijn plat, omdat het kantoornetwerk niet was afgeschermd van de fabrieksvloer (OT).

Volledige lijn stilgelegd
De meldplicht

De klok begint te tikken bij detectie

Bij een significant incident kent de CBV een vaste cadans. Weet u wie binnen uw organisatie elke stap zet?
24 uur
Eerste waarschuwing

Een early warning naar het CSIRT / de toezichthouder — onverwijld, uiterlijk binnen 24 uur.

72 uur
Inhoudelijke melding

Een eerste beoordeling van aard, ernst en impact van het incident.

1 maand
Eindverslag

Een uitgebreid eindrapport met oorzaak, maatregelen en gevolgen.

Hoe wij helpen

Van verplichting naar weerbaarheid

Geanonimiseerde voorbeelden uit onze incident-onderzoeken. Herkenbaar?
NIS2/CBV-readiness assessment

Eenmalig traject (2–3 weken) dat uw weerbaarheid toetst tegen de praktijk en een geprioriteerd actieplan oplevert.

Incident response retainer

24/7 piket met vaste SLA. Als het misgaat staat ons DFIR-team direct klaar — geen kostbare zoektocht tijdens een crisis.

Tabletop & crisis-simulatie

Een realistische oefening voor bestuur én team. U ontdekt waar uw plan breekt vóórdat een aanvaller dat doet.

Waarom Invictus

Wij komen op de slechtste dag en weten wat werkt

200+

Onderzochte incidenten

24/7

Incident response piket

<1u

Reactietijd bij retainer

Trusted By
Veelgestelde vragen

NIS2 & CBV — kort uitgelegd

Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet?

NIS2 is de Europese richtlijn; de Cyberbeveiligingswet (CBV) is de Nederlandse wet die NIS2 omzet naar nationale regelgeving. In de praktijk gaat het om dezelfde verplichtingen, vastgelegd in Nederlands recht.

Wanneer treedt de wet in werking?

De Tweede Kamer nam het wetsvoorstel aan op 15 april 2026. De wet ligt nu bij de Eerste Kamer en treedt naar verwachting per 1 juli 2026 in werking, samen met de Wet weerbaarheid kritieke entiteiten.

Wat is een 'significant incident'?

Kort gezegd: een incident dat de dienstverlening ernstig (kan) verstoren of grote (financiële) schade veroorzaakt. De exacte drempels worden nader uitgewerkt in lagere regelgeving per sector. Wij helpen u bepalen wat voor úw organisatie meldplichtig is.

Geldt dit ook voor mijn MSP / leveranciers?

Ja — managed service providers vallen nu zélf onder de wet. Daarnaast bevat de zorgplicht een component voor uw toeleveringsketen: u moet ook risico's bij leveranciers beheersen.

Wat als we de deadline niet halen?

De toezichthouder kijkt of u aantoonbaar serieuze, passende stappen zet. Niets doen is het grootste risico. Begin, documenteer uw keuzes en bouw stap voor stap verder — daar helpen wij bij.

Doe de gratis readiness check

Weerbaarheid test je niet pas tijdens de aanval

Plan een vrijblijvend gesprek. We kijken samen waar u staat en wat uw belangrijkste eerste stap is.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.