Dit gaat NIS2 aan tijd en geld kosten

De implementatie van de Europese NIS2-richtlijn, vertaald in de Nederlandse Cyberbeveiligingswet (Cbw) en het bijbehorende Cyberbeveiligingsbesluit (Cbb), blijkt voor veel organisaties een ingrijpende en kostbare opgave. Grote ondernemingen verwachten gemiddeld 6.708 uur nodig te hebben om te voldoen aan de zorgplicht. Middelgrote bedrijven gaan uit van een structurele belasting van 1.246 uur per jaar, grote ondernemingen 3.465 uur. Dat blijkt uit de nota van toelichting op beide voorstellen (bron: Rijksoverheid, 2025).

Naast tijdsinvesteringen moeten bedrijven ook rekenen op aanzienlijke out-of-pocket-kosten. Grote ondernemingen voorzien eenmalige investeringen van gemiddeld €44.400, bij middelgrote bedrijven ligt dit rond de €25.000. De jaarlijkse kosten voor externe ondersteuning, zoals trainingen, bedragen gemiddeld €30.000 tot €32.800.

De wet verplicht organisaties tot vergaande maatregelen op het gebied van cyberbeveiliging, waaronder risicoanalyses, governance, incidentenbeheer, en beveiliging van de toeleveringsketen. Hoewel veel bedrijven al werken volgens normen als ISO27001 en NEN7510, vraagt de wet om meer diepgang en een bredere toepassing. Vooral de ketenverantwoordelijkheid en registratieplicht zorgen voor extra lasten.

De complexiteit van de wet leidt ook binnen de overheid tot vertraging: de wet had in oktober 2024 moeten ingaan, maar wordt nu pas in het tweede kwartaal van 2026 verwacht. Tijdens de internetconsultatie is veel kritiek geuit, onder meer over de administratieve druk en uitvoerbaarheid. Dit heeft geleid tot aanpassingen, zoals het schrappen van de eis voor een onafhankelijke trainer en het loslaten van een verplicht aantal trainingsuren. Bestuurstraining blijft echter verplicht, gericht op strategisch inzicht in cyberrisico’s.

De wet hanteert een risk-based aanpak: organisaties moeten zelf op basis van risicoanalyses bepalen welke maatregelen passend zijn. Zo moeten zij een bedrijfscontinuïteitsplan hebben dat aansluit op hun risico-inventarisatie, inclusief noodvoorzieningen en backupbeheer. Ook is verduidelijkt dat procedures en processen uitvoering geven aan het beleid, en dus apart moeten worden gedocumenteerd.

Op 30 juni is het concept van de algemene maatregelen van bestuur (amvb) aan de Tweede Kamer aangeboden. De overheid adviseert bedrijven om zich nu al voor te bereiden op de nieuwe verplichtingen, ondanks het uitstel van de inwerkingtreding.

Bron: Alfred Monterie in Computable.nl
Deze samenvatting is opgesteld met behulp van AI, gecontroleerd door onze redactie.