NIS2 is nu wet: wat de Cyberbeveiligingswet betekent voor jou

Chayenne Garcia • 8 juli 2026

Over ons

NIS2 is definitief. Zo weet je of je uitbestedingspartner de wet aankan.

byteleaders over cyberbeveiliging

Op 7 juli 2026 stemde de Eerste Kamer in met de Cyberbeveiligingswet. Daarmee is de Nederlandse vertaling van de Europese NIS2-richtlijn definitief, en op 15 augustus 2026 gaat ze in. Ruim 8.000 organisaties krijgen dan wettelijke verplichtingen rond cybersecurity, en via de keten raakt het er nog veel meer. Besteed je je klantenservice uit? Dan zit je uitbestedingspartner middenin die keten, en dan wordt hun beveiliging opeens ook jouw verantwoordelijkheid.

Wat is NIS2?

NIS2 staat voor de tweede Network and Information Security-richtlijn, een Europese wet uit 2022. Ze is de opvolger van de eerste NIS-richtlijn uit 2016 en heeft één helder doel: het niveau van cybersecurity in de hele EU omhoog brengen. Waar de eerste richtlijn zich beperkte tot een handvol kritieke sectoren, breidt NIS2 fors uit wie eronder valt.



Belangrijk om te snappen: een Europese richtlijn werkt niet rechtstreeks. Elk land moet haar vertalen naar eigen nationale wetgeving. In Nederland is die vertaling de Cyberbeveiligingswet. De uiterste datum om dat te regelen was 17 oktober 2024, dus Nederland loopt ruim anderhalf jaar achter. Met de stemming van 7 juli 2026 is die achterstand nu ingelopen en ligt de wet vast.

Wat de Cyberbeveiligingswet precies regelt

De Cyberbeveiligingswet (Cbw) vervangt de oude Wet beveiliging netwerk- en informatiesystemen en richt zich op organisaties in achttien sectoren die essentiële of belangrijke diensten leveren, van energie en drinkwater tot digitale infrastructuur, zorg en vervoer.



Wie eronder valt, krijgt met drie kernverplichtingen te maken. Een registratieplicht: je meldt je organisatie aan bij het Nationaal Cyber Security Centrum. Een zorgplicht: je neemt passende technische en organisatorische maatregelen om je systemen te beveiligen. En een meldplicht: significante incidenten meld je binnen strakke termijnen. Er is geen overgangsperiode. Vanaf 15 augustus geldt de wet, en tien toezichthouders gaan er actief op handhaven.

Val je er direct onder, of via de keten?

De eerste vraag is of jouw organisatie zelf onder de wet valt. Dat toets je zelf, aan de hand van je sector en je omvang. Kleine webshops vallen er vaak niet rechtstreeks onder, grotere spelers en bedrijven in kritieke sectoren meestal wel.



De tweede vraag wordt makkelijk over het hoofd gezien, en die is minstens zo belangrijk. De zorgplicht strekt zich uit tot je toeleveringsketen. Lever je diensten aan een organisatie die wél onder de wet valt, dan zullen zij van jou verlangen dat je aantoonbaar veilig werkt. Andersom geldt hetzelfde: iedere partij die jouw data verwerkt of toegang heeft tot jouw systemen, is onderdeel van jouw keten. En daar hoort je uitbestede klantenservice bij.

Waarom je uitbestede klantenservice ineens meetelt

Een extern klantenserviceteam is geen buitenstaander. Het werkt in je helpdesksysteem, ziet ordergegevens, adresgegevens en soms betaalinformatie, en logt in op je klantcontactomgeving. Precies het soort toegang waar de zorgplicht over gaat.


De wet vraagt expliciet om beheersing van ketenrisico's. Dat betekent dat je niet alleen je eigen huis op orde moet hebben, maar ook moet kunnen aantonen dat de partijen aan wie je werk uitbesteedt zorgvuldig met die toegang omgaan. Wie zijn klantenservice laat uitbesteden, verplaatst het klantcontact naar een externe partij, maar niet de verantwoordelijkheid voor de data die daarbij hoort.


Dat speelt op elk kanaal. Een team dat je webcare uitvoert, verwerkt persoonsgegevens die via social media binnenkomen. Een partij die je e-mailbox beheert, heeft toegang tot een schat aan klantcommunicatie. Elk van die stromen valt onder dezelfde vraag: is dit veilig genoeg om onder de nieuwe wet te verantwoorden?

De meldplicht stopt niet bij je eigen muren

Als er iets misgaat, moet je snel schakelen. De wet verwacht een eerste melding van een significant incident binnen 24 uur. Dat lukt alleen als je weet wat er speelt, en dat wordt lastig wanneer het incident zich afspeelt bij een partner en niet bij jou.


Stel dat je externe team te maken krijgt met een datalek of een gecompromitteerd account. Zonder duidelijke afspraken hoor je het misschien pas dagen later, en dan tikt de klok allang. Leg daarom vooraf vast hoe en binnen welke termijn je partner incidenten aan je meldt, wie de contactpersoon is en welke informatie je direct nodig hebt. Hoe je klantenservice tijdens dataverlies opschaalt en communiceert hoort in dezelfde draaiboeken thuis als je meldplicht onder de Cyberbeveiligingswet.

Zo toets je je uitbestedingspartner

De praktische vraag is dus niet of je een externe partij inschakelt, maar of die partij aantoonbaar veilig werkt. Voor een gesprek met je huidige of toekomstige partner is dit een bruikbare checklist:


  • Certificering. Werkt de partij volgens een erkend kader als ISO 27001? Dat toont aan dat informatiebeveiliging structureel is ingericht, niet ad hoc.
  • Toegangsbeheer. Wie heeft toegang tot welke data, en wordt die toegang beperkt tot wat nodig is? Vraag naar tweefactorauthenticatie en het intrekken van rechten bij vertrek van medewerkers.
  • Verwerkersovereenkomst. Ligt vast wat er met persoonsgegevens gebeurt, waar ze staan en welke subverwerkers worden ingeschakeld?
  • Incidentprocedure. Hoe snel en via welke lijn word je geïnformeerd als er iets misgaat?
  • Veilige tooling. Draait het klantcontact in een goed ingerichte, up-to-date omgeving?


Dat laatste punt onderschatten veel bedrijven. Een veilig ingericht helpdesksysteem met de juiste rechtenstructuur voorkomt een groot deel van de risico's aan de voorkant. Werk je met een implementatiepartner voor je helpdesktooling, dan is dit het moment om de beveiligingsinstellingen tegen het licht te houden.

Bestuurders zijn nu persoonlijk aan zet

De Cyberbeveiligingswet trekt cybersecurity weg bij de IT-afdeling en legt het op het bord van de leiding. Bestuurders kunnen persoonlijk aansprakelijk worden gehouden, en de boetes lopen op tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Dat gaat verder dan de kaders die je van de AVG kent.



Voor de directie betekent dit dat vragen over uitbestede klantenservice niet langer alleen over kwaliteit en kosten gaan. De beveiliging van je ketenpartners wordt een bestuurlijk onderwerp, met een risicoprofiel dat je moet kunnen onderbouwen.

Wat je voor 15 augustus kunt doen

De datum ligt vast, dus wachten heeft weinig zin. Begin met vaststellen of je organisatie direct onder de wet valt of via de keten wordt geraakt. Valt je eronder, registreer je dan tijdig bij het NCSC en start met een eerste risicoanalyse. Breng vervolgens in kaart welke externe partijen toegang hebben tot je klantdata, en toets je uitbestedingspartners aan de checklist hierboven. Werk de afspraken over incidentmelding bij in je contracten, zodat je meldplicht in de praktijk werkt.


Wil je weten of je uitbestede klantenservice de nieuwe wet aankan? Neem contact met ons op, dan lopen we samen door je keten en kijken we waar je nog stappen te zetten hebt.

Ralph Heeneman

About Ralph Heeneman

Ralph is oprichter en projectmanager van Byteleaders. Hij is gespecialiseerd in klantcontact oplossingen.

Vestiging Amsterdam | +31 20 261 86 50

byteleaders klantenservice uitbesteden misverstanden
door Chayenne Garcia 3 juli 2026
Te duur, geen controle, klanten haken af? De bekendste bezwaren tegen klantenservice uitbesteden kloppen zelden. Dit is wat de praktijk laat zien.
byteleaders klantcontact zomerdrukte
door Chayenne Garcia 1 juli 2026
Verminderde bezetting, meer bestellingen. Ontdek hoe je klantcontact organiseert tijdens de zomerdrukte zonder dat je service inzakt.
byteleaders kwaliteitsmanagement in klantenservice
door Chayenne Garcia 26 juni 2026
Een vol dashboard verbetert nog geen enkel gesprek. Ontdek hoe je met kwaliteitsmanagement van losse cijfers naar structureel betere klantenservice komt.
Bekijk meer