Cyberveiligheid wordt ook HR-werk: bereid je organisatie voor op NIS2

21 mei 2026

De nieuwe Cyberbeveiligingswet komt eraan. Deze wet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en moet organisaties digitaal weerbaarder maken.

De Tweede Kamer heeft het wetsvoorstel op 15 april 2026 aangenomen; de Eerste Kamer behandelt het voorstel nog. De regering streeft naar inwerkingtreding in het tweede kwartaal van 2026, maar de exacte datum hangt af van de parlementaire behandeling.

Voor veel VNPF-leden zal de Cyberbeveiligingswet/NIS2 mogelijk niet rechtstreeks gelden, omdat cultuur-, festival- en podiumexploitatie niet als zelfstandige NIS2-sector is aangewezen. Dat betekent echter niet dat het onderwerp buiten beeld kan blijven. Poppodia en festivals werken met ticketing, personeels- en salarisgegevens, bezoekersdata, betaalsystemen, leveranciers, productieplanningen en soms gemeentelijke of publieke opdrachtgevers. Ook kunnen ketenpartners, gemeenten, verzekeraars, IT-leveranciers of ticketingpartijen steeds vaker vragen stellen over digitale weerbaarheid.

Cyberveiligheid is daarmee niet alleen een IT-vraagstuk, maar ook een HR-, organisatie- en gedragsvraagstuk. Juist HR kan helpen om cyberveilig werken onderdeel te maken van de dagelijkse praktijk: via onboarding, bewustwordingstrainingen, duidelijke afspraken over toegang tot systemen, veilig meldgedrag, exitprocedures en aandacht voor functies met verhoogd risico, zoals HR, finance, directie, marketing, ticketing en productie.

Het advies aan leden is daarom: vul de officiële NIS2-zelfevaluatie in om te bepalen of de organisatie rechtstreeks onder de wet valt, maar gebruik NIS2 óók als praktisch kader om de eigen digitale weerbaarheid te versterken. Ook als er geen directe wettelijke verplichting geldt, is het verstandig om nu al basismaatregelen te treffen rond phishing, wachtwoorden, toegangsbeheer, datalekken, leveranciersafspraken en incidentmelding. Zo wordt cyberveiligheid geen technische bijzaak, maar een gedeelde verantwoordelijkheid binnen de organisatie.

Wat verandert er?

Organisaties die onder de Cyberbeveiligingswet vallen, krijgen te maken met drie hoofdverplichtingen: een zorgplicht om passende technische, operationele en organisatorische maatregelen te nemen, een meldplicht voor significante incidenten en een registratieplicht in het entiteitenregister. Significante incidenten moeten zo snel mogelijk, maar in ieder geval binnen 24 uur, worden gemeld bij toezichthouder en CSIRT.

Wie moet hier iets mee?

De wet geldt voor zogenoemde essentiële en belangrijke entiteiten in aangewezen sectoren. Of een organisatie onder de wet valt, hangt af van sector, omvang en activiteiten. De RDI wijst erop dat ook grotere bedrijven, toeleveranciers of dochterbedrijven onder de wet kunnen vallen afhankelijk van hun rol in de keten. De officiële NIS2-zelfevaluatie helpt organisaties om dit te beoordelen.

Wat is de rol van HR?

HR kan helpen om cyberveiligheid onderdeel te maken van de organisatiecultuur. Denk aan onboarding, periodieke bewustwordingstrainingen, afspraken over veilig melden, functies met verhoogd risico en duidelijke gedragsregels rond wachtwoorden, phishing, datadeling en gebruik van privéapparaten. Voor organisaties die onder de wet vallen, krijgt ook het bestuur een duidelijke rol: bestuurders moeten cyberrisico’s kunnen beoordelen en een training volgen; binnen twee jaar na inwerkingtreding moeten zij hun kennis en vaardigheden aantoonbaar op orde hebben.

Wat kunnen HR-afdelingen nu al doen?

Doe de NIS2-zelfevaluatie
Check samen met directie en IT of de organisatie rechtstreeks onder de Cyberbeveiligingswet valt, of indirect geraakt wordt via opdrachtgevers, leveranciers of ketenpartners.
Breng risicogroepen in kaart

Let vooral op medewerkers die werken met persoonsgegevens, facturen, betalingen, contracten, salarissen, ticketingdata of toegang tot systemen. Denk aan HR, finance, directie, productie, marketing en ticketing.
Maak melden veilig en eenvoudig

Medewerkers moeten weten waar zij een verdachte mail, verkeerd gedeeld bestand of mogelijke datalekmelding kwijt kunnen. Leg vast: wie meld je, binnen welke termijn en wat gebeurt er daarna?
Kies voor herhaling in plaats van één jaarlijkse e-learning

Korte, terugkerende microlearnings werken vaak beter dan één verplichte training per jaar. Koppel dit aan praktijkvoorbeelden uit de sector: phishing rond loonstroken, nep-facturen, leveranciersmails, artiestencontracten of ticketing.
Neem cyberveiligheid op in HR-processen

Verwerk basisafspraken in onboarding, exitprocedures, functieprofielen, gedragscode en leidinggevendengesprekken. Denk ook aan het intrekken van accounts bij uitdiensttreding en het beperken van toegang tot gevoelige gegevens.
Oefen een incident

Bespreek met directie, IT, communicatie en HR wat er gebeurt bij een gehackt account, ransomware, gestolen laptop of datalek met personeelsgegevens. Wie belt wie? Wie informeert medewerkers? Wie beoordeelt of er gemeld moet worden?

Waar vind je de officiële informatie?

Gebruik voor de juridische en praktische voorbereiding vooral de informatie van Rijksoverheid, NCSC, NCTV, RDI en de officiële NIS2-zelfevaluatie. De overheid adviseert organisaties nadrukkelijk om niet te wachten tot de wet formeel in werking treedt, omdat de cyberrisico’s nu al bestaan.

Nr.	Bron	Toelichting	Link
1	Rijksoverheid – Tweede Kamer stemt in met wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten	Nieuwsbericht van 15 april 2026 over de parlementaire stand van zaken en de implementatie van de NIS2-richtlijn in de Nederlandse Cyberbeveiligingswet.	https://www.rijksoverheid.nl/onderwerpen/cybercrime-en-cybersecurity/nieuws/2026/04/15/tweede-kamer-stemt-in-met-wetsvoorstellen-cyberbeveiligingswet-en-wet-weerbaarheid-kritieke-entiteiten
2	Rijksinspectie Digitale Infrastructuur – Cyberbeveiligingswet	Overzichtspagina met uitleg over de Cyberbeveiligingswet, doelgroep, NIS2-zelfevaluatie, quickscan en de drie hoofdverplichtingen: zorgplicht, meldplicht en registratieplicht.	https://www.rdi.nl/onderwerpen/cyberveiligheid/cyberbeveiligingswet
3	Nationaal Cyber Security Centrum – Infosheet Cyberbeveiligingswet: Zorgplicht	Officiële toelichting op de zorgplicht: organisaties die onder de Cyberbeveiligingswet vallen moeten passende maatregelen nemen om netwerk- en informatiesystemen te beschermen.	https://www.ncsc.nl/cyberbeveligingswet-nis2/infosheet-zorgplicht
4	Nationaal Cyber Security Centrum – Meldplicht	Officiële toelichting op de meldplicht. Significante incidenten moeten zo snel mogelijk, maar in ieder geval binnen 24 uur na waarneming, worden gemeld bij het CSIRT en de toezichthouder.	https://www.ncsc.nl/cyberbeveiligingswet-nis2/meldplicht
5	Nationaal Cyber Security Centrum – Registratieplicht	Officiële toelichting op de registratieplicht voor organisaties die onder de Cyberbeveiligingswet vallen. Registratie vindt in Nederland plaats via het NCSC.	https://www.ncsc.nl/cyberbeveiligingswet-nis2/registratieplicht
6	Nationaal Coördinator Terrorismebestrijding en Veiligheid – Bestuurlijke verantwoordelijkheid en trainingsplicht voor bestuurders	Uitleg over bestuurlijke verantwoordelijkheid, verplichte cyberbeveiligingstraining, certificaat en termijn van twee jaar na inwerkingtreding van de wet.	https://www.nctv.nl/onderwerpen/c/cyberbeveiligingswet/bestuurlijke-verantwoordelijkheid-en-opleidingsplicht-voor-bestuurders
7	NCSC – Wetsvoorstel Cyberbeveiligingswet ingediend bij de Tweede Kamer	Achtergrondbericht over de indiening van het wetsvoorstel en de omzetting van de Europese NIS2-richtlijn in nationale wetgeving.	https://www.ncsc.nl/nieuws/wetsvoorstel-cyberbeveiligingswet-ingediend-bij-de-tweede-kamer
8	PW. – “Nieuwe wet NIS2: HR, beveilig je organisatie met cybersecuritycultuur en trainingen”	Journalistieke aanleiding en HR-invalshoek. De juridische duiding in het nieuwsbericht is gebaseerd op officiële overheidsbronnen.	Aangeleverde tekst, PW., 30 april 2026, laatste update 4 mei 2026