De Cybersecurity Act 2 als structurele aanvulling op NIS2
De invoering van Richtlijn (EU) 2022/2555 (NIS2) markeert een belangrijke stap in de versterking van de Europese cybersecurity-governance. NIS2 vormt echter op zichzelf geen volledig operationeel kader. Het in 2026 gepresenteerde voorstel van de Europese Commissie voor een herziening van de Cybersecurity Act (CSA2) introduceert ingrijpende hervormingen van ENISA, het Europees Cybersecurity Certificeringskader (ECCF) en de beveiliging van ICT-toeleveringsketens. Dit artikel analyseert CSA2 als functionele en juridische aanvulling op NIS2 en beoordeelt de impact voor Europese ondernemingen. De analyse toont aan dat CSA2 NIS2 transformeert van een hoofdzakelijk regulerend instrument naar een meer operationeel, geharmoniseerd en afdwingbaar governance-systeem, met aanzienlijke gevolgen voor compliance, certificering en supply-chain-beheer.
Cybersecurity is uitgegroeid tot een kerncomponent van de Europese economische veerkracht en strategische autonomie. Met NIS2 zijn bindende cybersecurity-verplichtingen ingevoerd voor een brede groep essentiële en belangrijke entiteiten, waaronder eisen voor risicobeheer, incidentrapportage, governance en toezicht. De eerste ervaringen met implementatie lieten echter fragmentatie, complexiteit en hoge nalevingskosten tussen lidstaten zien.
Als reactie hierop presenteerde de Europese Commissie in januari 2026 een ingrijpende herziening van Verordening (EU) 2019/881: de Cybersecurity Act 2 (CSA2). Dit voorstel beoogt ENISA te versterken, het Europees Cybersecurity Certificeringskader te hervormen en een geharmoniseerd kader voor ICT-toeleveringsketens in te voeren. Tegelijkertijd worden gerichte aanpassingen van NIS2 voorgesteld om samenhang en eenvoud te vergroten.
Dit artikel betoogt dat CSA2 geen loutere actualisering is, maar een structurele aanvulling op NIS2 die de praktische uitvoerbaarheid en economische impact fundamenteel verandert.
Conceptuele relatie tussen NIS2 en CSA2
NIS2 definieert wat organisaties moeten bereiken: een hoog gemeenschappelijk niveau van cybersecurity via risicogebaseerd beheer, bestuurlijke verantwoordelijkheid en incidentrapportage. CSA2 definieert hoe dit op Unieniveau kan worden gerealiseerd.
CSA2 positioneert cybersecurity-certificering expliciet als compliance-instrument voor NIS2-entiteiten door de introductie van “cyber posture certification” voor organisaties. Hiermee verschuift certificering van een productgericht naar een organisatiegericht volwassenheidsmodel, rechtstreeks gekoppeld aan NIS2-verplichtingen.
Daarnaast versterkt CSA2 de rol van ENISA in de ondersteuning van NIS2-implementatie, waaronder operationele samenwerking, situational awareness en incidentcoördinatie.
CSA2 fungeert daarmee als de infrastructuurlaag onder NIS2, gericht op harmonisatie, vereenvoudiging en Europese consistentie.
De versterkte rol van ENISA
Onder CSA2 wordt het mandaat van ENISA aanzienlijk uitgebreid. De organisatie wordt:
- een centraal Europees kenniscentrum,
- coördinator van operationele samenwerking,
- beheerder van certificeringsschema’s,
- ondersteuner van NIS2-entiteiten bij grote incidenten op verzoek van lidstaten.
Hiermee wordt een belangrijk tekort van NIS2 opgelost: het ontbreken van een sterke Europese operationele ruggengraat. Voor bedrijven betekent dit dat toezicht en interpretatie van cybersecurity-eisen steeds meer Europees geharmoniseerd zullen worden.
Certificering als compliance-mechanisme
Een van de meest ingrijpende innovaties van CSA2 is de transformatie van het ECCF tot een compliance-instrument. CSA2:
- breidt de scope van certificering uit,
- introduceert onderhoudsmechanismen voor schema’s,
- maakt certificering van organisatorische cybervolwassenheid mogelijk,
- stemt certificering af op NIS2, AVG en andere EU-wetgeving.
Voor Europese ondernemingen betekent dit dat certificering een praktisch bewijs van naleving wordt voor meerdere juridische regimes tegelijk. Hierdoor worden auditlasten verminderd en ontstaat meer rechtszekerheid. Volgens de impactanalyse kan dit leiden tot kostenbesparingen tot 14,6 miljard euro in vijf jaar.
ICT-toeleveringsketens en strategische autonomie
CSA2 introduceert een horizontaal kader voor niet-technische risico’s in ICT-toeleveringsketens. Dit maakt mogelijk:
- identificatie van high-risk suppliers,
- geharmoniseerde uitsluiting van dergelijke leveranciers uit kritieke ICT-componenten,
- EU-brede risicoanalyses,
- beoordeling van economische haalbaarheid en marktalternatieven.
Voor NIS2-entiteiten wordt supply-chain-beheer hierdoor juridisch concreet en afdwingbaar. Voor ondernemingen betekent dit een versnelling richting vertrouwde leveranciers, met korte-termijnkosten maar lange-termijnwinst in strategische autonomie.
Vereenvoudiging van NIS2-compliance
CSA2 gaat gepaard met aanpassingen aan NIS2 die onder meer betrekking hebben op:
– verduidelijking van de scope,
– harmonisatie van rapportageformats,
– toezicht op grensoverschrijdende diensten,
– ransomware-rapportage.
Hiermee wordt beoogd fragmentatie te verminderen en naleving te vereenvoudigen. Voor internationaal opererende ondernemingen is dit een cruciale verbetering.
Economische en concurrentiële impact
Volgens de impactanalyse:
– bedragen de kosten voor ENISA circa 161 miljoen euro over vijf jaar,
– bedragen toezichtskosten voor autoriteiten circa 80 miljoen euro,
– lopen supply-chain-transitiekosten voor operators op tot 3,4–4,3 miljard euro per jaar,
maar kunnen bedrijven tot 14,6 miljard euro aan compliance-kosten besparen.
Op lange termijn versterken CSA2 en NIS2 gezamenlijk marktvertrouwen, investeringszekerheid, digitale innovatie en Europese concurrentiekracht.
Governance en aansprakelijkheid
CSA2 versterkt indirect ook de governance-verplichtingen onder NIS2. Door certificering van cybervolwassenheid worden bestuursverantwoordelijkheden transparanter en beter toetsbaar. Cybersecurity wordt hierdoor expliciet een strategisch bestuursonderwerp.
NIS2 vormt de regulerende pijler van Europese cybersecurity-governance. CSA2 levert de operationele, technische en structurele basis. Samen vormen zij een samenhangend bestuursmodel waarin wettelijke verplichtingen worden ondersteund door praktische uitvoerbaarheid.
Voor Europese ondernemingen betekent CSA2 dat NIS2 evolueert van een zware compliance-last naar een meer voorspelbaar, geharmoniseerd en bewijsbaar systeem. Certificering, ENISA-coördinatie en supply-chain-harmonisatie verminderen fragmentatie en verhogen weerbaarheid.
In strategisch perspectief verheft CSA2 cybersecurity tot een kernonderdeel van Europese economische soevereiniteit. Het gecombineerde NIS2–CSA2-kader vormt daarmee geen eenvoudige wetswijziging, maar een fundamentele herdefiniëring van Europese cybersecurity-governance.
NIS2 / Cyberbeveiligingswet
De Cybersecurity Act 2 als structurele aanvulling op NIS2
Soevereine cloud
Soevereine cloud als antwoord op buitenlandse inmenging
CSA Cybersecurity Advisory
CSA Cybersecurity Advisory Partners with Tarlogic.
Samenhang tussen NIS2 en de Cyberbeveiligingswet
De Nederlandse Cyberbeveiligingswet (Cbw) is de directe implementatie van de Europese NIS2-richtlijn. Deze richtlijn vervangt de eerdere NIS1-richtlijn en heeft als doel de cyberweerbaarheid binnen de Europese Unie aanzienlijk te verhogen. Waar NIS1 zich nog beperkte tot een relatief kleine groep vitale aanbieders, breidt NIS2 de reikwijdte sterk uit, zowel qua sectoren als qua type organisaties.
De kern van de samenhang is dat NIS2 een minimumkader biedt met verplichtingen voor lidstaten, terwijl de Cyberbeveiligingswet deze verplichtingen nationaal juridisch verankert. Nederland heeft dus beperkte beleidsruimte: de belangrijkste eisen liggen al vast in de Europese richtlijn. Wel kan Nederland accenten leggen in toezicht, handhaving en praktische uitvoering.
NIS2 introduceert drie centrale verplichtingen die ook in de Cyberbeveiligingswet terugkomen:
- Zorgplicht: organisaties moeten passende technische en organisatorische maatregelen nemen
- Meldplicht: ernstige incidenten moeten binnen strikte termijnen gemeld worden
- Registratieplicht: organisaties moeten zich registreren bij toezichthouders
Daarnaast benadrukt NIS2 expliciet de verantwoordelijkheid van het bestuur (management accountability), wat betekent dat bestuurders persoonlijk aangesproken kunnen worden op nalatigheid. Dit is een belangrijke verzwaring ten opzichte van eerdere regelgeving.
Implementatie in Nederland
De implementatie van NIS2 in Nederland via de Cyberbeveiligingswet is omvangrijk en raakt duizenden organisaties. De wet richt zich op twee categorieën:
- Essentiële entiteiten (bijvoorbeeld energie, transport, zorg, digitale infrastructuur)
- Belangrijke entiteiten (zoals productiebedrijven, digitale diensten en bepaalde leveranciers)
In tegenstelling tot de oude situatie vallen nu ook veel middelgrote bedrijven (≥50 medewerkers of ≥€10 miljoen omzet) onder de wet. Dit betekent dat de doelgroep aanzienlijk groeit.
Toezichtstructuur
De implementatie in Nederland kenmerkt zich door een gedecentraliseerd toezichtmodel. Verschillende toezichthouders krijgen een rol, afhankelijk van de sector. Een belangrijke speler is de Rijksinspectie Digitale Infrastructuur, die toezicht houdt op een groot deel van de digitale en telecomsector.
Daarnaast blijven bestaande instanties zoals het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) een ondersteunende rol spelen, met name op het gebied van informatievoorziening en dreigingsinformatie.
Nieuwe verplichtingen voor organisaties
De Cyberbeveiligingswet vertaalt de NIS2-eisen naar concrete verplichtingen, waaronder:
- Risicomanagement op basis van erkende normen (zoals ISO 27001/BIO2)
- Incidentdetectie en responsprocessen
- Leveranciersketenbeheer (supply chain security)
- Regelmatige audits en toezicht
- Rapportage aan toezichthouders
Een belangrijk nieuw element is de nadruk op ketenverantwoordelijkheid. Organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar ook die van leveranciers en partners.
Sancties en handhaving
De handhaving wordt aanzienlijk strenger dan onder NIS1. Toezichthouders krijgen bevoegdheden om:
- Boetes op te leggen (tot miljoenen euro’s)
- Bindende aanwijzingen te geven
- Inspecties uit te voeren
Bestuurders kunnen bovendien persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. Dit maakt cybersecurity nadrukkelijk een boardroom-issue.
Uitdagingen bij implementatie
De implementatie van de Cyberbeveiligingswet kent verschillende uitdagingen:
- Bewustwording: Veel organisaties weten nog niet dat ze onder de wet gaan vallen
- Complexiteit: De eisen zijn breed en technisch, wat implementatie lastig maakt
- Capaciteitstekort: Er is een groot tekort aan cybersecurityspecialisten
- Toezichtcoördinatie: Meerdere toezichthouders kunnen leiden tot versnippering
Voor Nederland is het een uitdaging om een balans te vinden tussen strikte naleving en praktische uitvoerbaarheid, zeker voor het MKB.
Verwachtingen voor de toekomst
De Cyberbeveiligingswet is geen eindpunt, maar onderdeel van een bredere ontwikkeling richting een steeds strenger Europees cybersecuritykader.
1. Verdere Europese integratie
De verwachting is dat regelgeving verder zal harmoniseren binnen de EU. Initiatieven zoals de Cybersecurity Act 2 en aanvullende certificeringsschema’s zullen de eisen verder aanscherpen. Dit betekent dat nationale wetgeving zoals de Cbw regelmatig aangepast zal moeten worden.
2. Van compliance naar resilience
Waar organisaties nu vooral focussen op compliance (voldoen aan regels), verschuift de nadruk naar cyber resilience: het vermogen om aanvallen te weerstaan én snel te herstellen. Dit vraagt om:
- Continue monitoring
- Oefeningen (cyber crisis simulations)
- Integratie met bedrijfscontinuïteit
3. Toenemende rol van supply chain security
Aanvallen via leveranciers (zoals softwareleveranciers) nemen toe. De wetgeving zal daarom steeds meer nadruk leggen op:
- Certificering van leveranciers
- Transparantie in ketens
- Europese eisen voor “high-risk suppliers”
4. Digitalisering van toezicht
Toezichthouders zullen steeds meer gebruikmaken van data-gedreven toezicht en automatische rapportages. Dit kan leiden tot:
- Continue compliance monitoring
- Minder handmatige audits
- Snellere interventies
5. Verantwoordelijkheid op bestuursniveau
Cybersecurity wordt definitief een strategisch thema op directieniveau. Bestuurders zullen:
- Actief betrokken moeten zijn
- Training moeten volgen
- Verantwoordelijkheid dragen voor risico’s
Meer informatie:
- Cyberbeveiligingswet – Digitale Overheid
- Verplichtingen Cyberbeveiligingswet (Cbw)
- Wetten en regels cybersecurity – Digitale Overheid
- NCSC: Wat betekent NIS2 voor uw organisatie
- NCSC: Bereid je voor op de Cyberbeveiligingswet
- RDI: Cyberbeveiligingswet uitleg
- Rijksoverheid: implementatie NIS2 en Cyberbeveiligingswet
- Internetconsultatie Cyberbeveiligingswet (wetsvoorstel)
Uitleg & achtergrond (semi-overheid / kennisplatforms)
- Digital Trust Center – betekenis NIS2
- NCTV – wat zijn NIS2 en CER richtlijnen
- Ondernemersplein – NIS2 richtlijn uitleg
- Regelhulp NIS2 zelfevaluatie
- NLdigital – impact van NIS2 op bedrijven
- Samen Digitaal Veilig – uitleg NIS2 richtlijn
- PVO Nederland – wat is de Cyberbeveiligingswet
