Kennisbank · Bijgewerkt juli 2026

NIS2 voor logistiek en productie: waar begin je?

Op 7 juli 2026 nam de Eerste Kamer de Cyberbeveiligingswet aan. Op 15 augustus 2026 treedt de wet in werking — zonder overgangstermijn. Voor veel logistiek- en productiebedrijven begint de verplichting dus niet 'ooit', maar over enkele weken.

Valt je organisatie eronder?

De Cyberbeveiligingswet — de Nederlandse omzetting van de Europese NIS2-richtlijn — maakt onderscheid tussen essentiële en belangrijke entiteiten. Voor beide gelden dezelfde zorg- en meldplicht; het verschil zit in het toezicht (proactief versus reactief). Voor logistiek en productie zijn vooral deze sectoren relevant:

Naast de sector telt de omvang: als vuistregel val je onder de wet vanaf 50 medewerkers, of bij een jaaromzet én balanstotaal boven de 10 miljoen euro. Let op: gelieerde ondernemingen en groepsstructuren tellen mee. En ook wie zelf búiten de wet valt, krijgt de eisen vaak alsnog op het bord via ketenverantwoordelijkheid: NIS2-plichtige klanten moeten aantoonbaar eisen stellen aan hun leveranciers.

De vier verplichtingen

  1. Zorgplicht — een risicoanalyse en passende technische en organisatorische maatregelen, inclusief de risico's in je leveranciersketen.
  2. Meldplicht — significante incidenten binnen 24 uur (vroegtijdige waarschuwing) melden bij het CSIRT, met vervolgrapportages daarna.
  3. Registratieplicht — je organisatie aanmelden in het entiteitenregister van de toezichthouder.
  4. Bestuurdersverantwoordelijkheid — het bestuur moet de maatregelen goedkeuren, aantoonbaar training volgen en kan bij nalatigheid persoonlijk worden aangesproken.

Waar begin je? Een nuchter stappenplan

  1. Scopebepaling — stel vast of je direct onder de wet valt (bijvoorbeeld met de NIS2-zelfevaluatie van de RDI) of indirect via klanten in de keten.
  2. Registratie voorbereiden — verzamel de gegevens voor het entiteitenregister, zodat aanmelden een kwestie van uren is.
  3. Risicoanalyse — breng kroonjuwelen, dreigingen en afhankelijkheden in kaart, inclusief OT/productiesystemen en kritieke leveranciers.
  4. Basismaatregelen op orde — MFA overal, geteste back-ups, patchbeleid, logging en detectie, toegangsbeheer en netwerksegmentatie (juist tussen IT en OT).
  5. Incident-responseplan — een geoefend draaiboek waarmee de 24-uursmelding haalbaar is, ook 's nachts en in het weekend.
  6. Bestuur in positie — leg besluitvorming en training van het bestuur vast; dit is een expliciete wettelijke eis.
  7. Leveranciers en contracten — beoordeel kritieke leveranciers en leg beveiligingseisen en meldafspraken vast in contracten en SLA's.
  8. Awareness — train medewerkers, van kantoor tot werkvloer en planning; phishing blijft de meest gebruikte ingang.
  9. Documenteren — veel organisaties dóen al veel, maar kunnen het niet aantonen. Bouw het dossier op dat toezichthouder of klant wil zien.
  10. Verbetercyclus — beleg eigenaarschap en rapporteer periodiek aan het bestuur; weerbaarheid is geen project maar een proces.

Specifiek voor productie en logistiek

In deze sectoren komen drie dingen samen die NIS2 lastig maken: een 24/7-operatie die niet stilgelegd kan worden voor onderhoud, oudere OT-systemen (WMS, TMS, PLC's, machinebesturingen) die niet zomaar gepatcht kunnen worden, en een keten met veel partijen en koppelingen. De oplossing zit zelden in méér tooling, maar in segmentatie, monitoring, goede afspraken met leveranciers en een realistisch gefaseerde roadmap — precies het werk waar een ervaren IT-verantwoordelijke het verschil maakt.

Dit artikel is algemene informatie over de stand van juli 2026 en geen juridisch advies. Raadpleeg voor de actuele wetteksten en handreikingen de NCTV, het NCSC en de RDI.

Wil je weten waar je organisatie staat? Ik voer een NIS2-quickscan uit en vertaal de uitkomst naar een geprioriteerde, haalbare roadmap. Neem vrijblijvend contact op.

Vrijblijvend sparren over je situatie?

Binnen één werkdag reactie — en direct een eerlijke inschatting.

Mail Mikael