TruestateWetgevingNIS2

NIS2 verplicht u de mens serieus te nemen. Wij helpen u dat bewijzen.

De Cyberbeveiligingswet gaat vanaf 1 juli 2026 actief gehandhaafd worden. Bent u aantoonbaar in control over uw menselijke risico's?

Gesprek aanvragen Lees meer over NIS2

Deadline

Handhaving start
1 juli 2026.

De klok tikt. Organisaties die niet aantoonbaar compliant zijn, riskeren bestuurlijke boetes en persoonlijke aansprakelijkheid van bestuurders. Truestate helpt u de menselijke component op orde te krijgen — voor de deadline.

--
Dagen
--
Uur
--
Min

Achtergrond

Wat is NIS2?

NIS2 staat voor Network and Information Security Directive 2 — de opvolger van de originele NIS-richtlijn uit 2016. In Nederland is NIS2 omgezet naar de Cyberbeveiligingswet, die vanaf 1 juli 2026 actief wordt gehandhaafd. Meer informatie via Digitale Overheid.

De richtlijn verplicht organisaties in kritieke sectoren om aantoonbare maatregelen te nemen tegen cyberdreigingen — inclusief de menselijke component. Dat laatste is precies waar veel organisaties het laten liggen.

NIS2 gaat verder dan technische beveiliging. Het vraagt om bewijs: dat uw organisatie risico's kent, test, en beheerst. Bestuurders zijn persoonlijk aansprakelijk als dat bewijs ontbreekt.

NIS2 heeft ook een fysieke tegenhanger: de Wet weerbaarheid kritieke entiteiten (Wwke). Waar NIS2 over digitale dreigingen gaat, verplicht de Wwke kritieke entiteiten tot aantoonbare weerbaarheid tegen sabotage, infiltratie en insider threats — precies het domein waar Truestate in gespecialiseerd is. Bekijk ook de BIO voor overheidsorganisaties →

2026
Handhaving start 1 juli — niet optioneel, niet uitgesteld
10%
Max boete van 10% van de jaarlijkse wereldwijde omzet
18+
Sectoren die verplicht onder NIS2 vallen in Nederland
100%
Bestuurders persoonlijk aansprakelijk bij aantoonbaar verzuim

Reikwijdte

Voor wie geldt NIS2?

Meer organisaties dan verwacht. NIS2 onderscheidt essentiële en belangrijke entiteiten. Ook toeleveranciers in kritieke ketens kunnen verplicht worden.

Energie
Elektriciteit, gas, olie, warmte en waterstof
Transport
Lucht, rail, water en wegvervoer
Financiën
Banken, financiële marktinfrastructuur
Gezondheidszorg
Ziekenhuizen, laboratoria, farmacie
Water
Drinkwater en afvalwaterbeheer
Overheid
Centrale en regionale overheidsdiensten
Digitale infrastructuur
Datacenters, DNS, cloud, telecom
Maakindustrie
Kritieke productie van medische en defensiegoederen
Toeleveranciers
Partijen in kritieke ketens — ook indirect in scope

Verplichtingen

Wat moet u aantonen?

01

Risicoanalyse en beleid

Aantoonbaar beleid voor informatiebeveiliging, inclusief menselijke risico's en insider threats.

02

Incidentbeheer

Procedures voor detectie, respons en melding van beveiligingsincidenten binnen wettelijke termijnen.

03

Beveiliging van de keten

Inzicht in en controle over de beveiligingsmaatregelen van leveranciers en partners.

04

Toegangsbeveiliging

Beleid voor toegangsbeheer, authenticatie en autorisatie — inclusief fysieke toegang.

05

Opleiding en bewustzijn

Aantoonbare trainings- en testprogramma's voor medewerkers op het gebied van cyberveiligheid.

06

Bestuurlijke betrokkenheid

Het bestuur is verantwoordelijk en moet kennis hebben van de genomen maatregelen. Persoonlijke aansprakelijkheid geldt.

Gevolgen bij niet-naleving

Bestuurlijke boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten.

Persoonlijke aansprakelijkheid van bestuurders bij aantoonbaar nalaten van toezicht.

Tijdelijk verbod voor bestuurders om leidinggevende functies te bekleden.

Reputatieschade door verplichte publieke bekendmaking van overtredingen.

Gedwongen audits en verhoogd toezicht door toezichthouders.

Zorgplicht & Meldplicht

Wat de wet concreet van u vraagt.

De Cyberbeveiligingswet legt organisaties twee hoofdverplichtingen op: een zorgplicht en een meldplicht.

De zorgplicht verplicht u passende maatregelen te nemen op basis van een risicobeoordeling — om de continuïteit van uw diensten te borgen en de informatie die u beheert te beschermen. Het gaat nadrukkelijk om aantoonbare maatregelen, inclusief het menselijke risico.

De meldplicht verplicht u significante incidenten te melden bij het NCSC binnen wettelijke termijnen. Een incident dat u niet tijdig signaleert omdat u het menselijke gedrag in uw organisatie niet getest heeft, is een incident dat u had kunnen voorkomen.

Truestate levert de risicobeoordeling en testresultaten voor het menselijke en fysieke deel van uw zorgplicht — het onderdeel dat technische audits structureel missen. Bekijk ook de Wwke voor de fysieke tegenhanger van de Cbw.

Bron: Digitale Overheid — Verplichtingen Cyberbeveiligingswet ↗

Stap 1

Risicobeoordeling

Breng alle risico's in kaart — inclusief menselijk gedrag, insider threats en fysieke kwetsbaarheden. Truestate levert de operationele input die een IT-audit niet geeft.

Stap 2

Passende maatregelen

Op basis van de beoordeling neemt u aantoonbare maatregelen. Truestate test of die maatregelen ook in de praktijk standhouden — niet alleen op papier.

Stap 3

Registratie bij NCSC

Organisaties die onder de Cbw vallen zijn verplicht zich te registreren bij het NCSC. Na registratie ontvangt u informatie over actuele cyberdreigingen.

Stap 4

Aantoonbaar compliant

Het bewijs dat u serieus werk maakt van de zorgplicht — richting toezichthouder, bestuur en ketenpartners. Truestate levert het rapport.

Het rapport

Geen IT-jargon. Bewijs van gedrag.

Ons rapport is geschreven vanuit inlichtingenperspectief — voor een directie die beslissingen neemt, niet voor een auditor die afvinkjes zoekt. Concreet, confronterend en direct bruikbaar als bewijs richting toezichthouder.

Management Rapport

AVG-proof · voor gemeenteraad, wethouder en toezichthouder

  • Risicoscore organisatie — overall en per domein
  • Dreigingsscenario's zonder persoonsdata
  • NIS2 zorgplicht mapping — welke maatregelen zijn getroffen
  • Prioriteitenmatrix — wat moet nu, wat kan later
  • Bruikbaar als bewijs bij ENSIA-verantwoording

Intern Werkdocument

Voor CISO en security team · met volledige operationele details

  • Individuele exposure per medewerker — breaches, digitale voetafdruk
  • Bevindingen physical security test — tijdstip, locatie, methode
  • Social engineering resultaten — wie klikte, wie gaf toegang
  • Patroonanalyse — structurele kwetsbaarheden, niet incidenten
  • Concreet actieplan per bevinding — prioriteit en eigenaar

Beide rapporten worden persoonlijk toegelicht door de partners. Geen account manager. Geen doorsturen naar een junior. Specifiek voor gemeenten →

Hoe Truestate helpt

De menselijke component is onze specialiteit.

NIS2 vraagt niet alleen om technische maatregelen — het vraagt om bewijs dat u de mens als risicofactor serieus neemt. Dat is precies waar Truestate in gespecialiseerd is.

SCAN

Dreigingsscan

Gerichte beoordeling van uw menselijke risicosurface: digitale aura, fysieke kwetsbaarheden en eerste patroonanalyse. Levert directe input voor uw NIS2-risicoanalyse.

RED

Red Team Operatie

Operationele test van uw verdediging door middel van undercover scenario's, social engineering en heimelijke waarneming. Aantoonbaar bewijs dat u uw medewerkers test.

SHIELD

Strategische Retainer

Jaarrond partnerschap met kwartaalscans, continue monitoring en directe toegang bij incidenten. Inclusief NIS2-rapportage richting toezichthouders en intern bestuur.

Veelgestelde vragen

NIS2 — de meest gestelde vragen.

Geldt NIS2 ook voor mijn organisatie als we niet in een vitale sector zitten?

Mogelijk wel. Als u toeleverancier bent van een NIS2-plichtige organisatie, kunt u indirect verplicht worden maatregelen te nemen. Neem contact op voor een snelle check.

Wat bedoelt NIS2 precies met "menselijke risico's"?

Denk aan social engineering, phishing, insider threats, onbedoeld datalek door medewerkers en onvoldoende fysieke toegangsbeveiliging. Precies de kwetsbaarheden die Truestate test.

Is NIS2 al van kracht?

De wet is al van kracht, maar actieve handhaving met boetes en aansprakelijkheid start op 1 juli 2026. Nu voorbereiden is het juiste moment.

Wat levert een Truestate assessment op voor NIS2?

Een gedocumenteerd rapport met bevindingen, patroonanalyse en aanbevelingen — direct bruikbaar als bewijs van uw risicobeheersing richting toezichthouders en uw eigen bestuur.

Hoe lang duurt een traject?

Een SCAN is doorgaans binnen twee weken afgerond. Een RED team operatie duurt gemiddeld vier tot zes weken, afhankelijk van de omvang van uw organisatie.

Is het juridisch toegestaan wat Truestate doet?

Ja. Elk traject wordt vooraf geborgd met een Letter of Authorization (LOA), NDA en een opdrachtovereenkomst. AVG-compliance is standaard. Wij werken altijd in opdracht en met toestemming.

Aan de slag

De deadline nadert.
Wacht niet.

Vertrouwelijk gesprek. Geen verplichtingen. Wij vertellen u eerlijk of en hoe Truestate u kan helpen voor 1 juli 2026.

pascal@truestate.nl

truestate.nl