ICT
…min leestijd
NIS2 voor de eerstelijnszorg: wat verandert er op 1 juli 2026 voor uw praktijk
Samenvatting
De Cyberbeveiligingswet gaat op 1 juli 2026 in. Wat betekent NIS2 concreet voor uw huisartsenpraktijk of apotheek? Praktische uitleg en checklist.

Geschreven door Remco den Broeder
Commercieel Directeur
Op 1 juli 2026 treedt de Cyberbeveiligingswet in werking. Voor ongeveer 4.000 Nederlandse zorgorganisaties betekent dit dat cybersecurity vanaf die datum wettelijk verplicht is, met concrete eisen aan techniek, organisatie en bestuur. De vraag die wij deze zomer wekelijks krijgen: geldt dit voor mijn praktijk, en wat moet ik dan concreet doen?
In deze blog leest u wat NIS2 en de Cyberbeveiligingswet betekenen voor huisartsenpraktijken, apotheken en GGZ-instellingen. Zonder juridisch jargon, met concrete acties per verplichting, en een checklist die u vandaag nog kunt gebruiken.
Wat is NIS2 en de Cyberbeveiligingswet?
NIS2 is een Europese richtlijn (Network and Information Security 2) die de digitale weerbaarheid van kritieke sectoren binnen de EU moet vergroten. Nederland zet deze richtlijn om in nationale wetgeving via de Cyberbeveiligingswet (Cbw). De wet is in april 2026 door de Tweede Kamer aangenomen, wordt momenteel behandeld in de Eerste Kamer, en treedt naar verwachting per 1 juli 2026 in werking.
Voor de zorg is dit relevant omdat gezondheidszorg door de EU is aangemerkt als essentiële sector. Dat betekent: strengere eisen aan cybersecurity, actief toezicht door onder andere de IGJ, en persoonlijke aansprakelijkheid voor bestuurders. De wet vervangt de oudere Wet beveiliging netwerk- en informatiesystemen (Wbni), die alleen voor grote zorginstellingen gold.
De belangrijkste verandering ten opzichte van eerdere regelgeving: waar de Wbni zich beperkte tot een handjevol grote spelers, brengt NIS2 het aantal zorgorganisaties onder toezicht op ongeveer 4.000. Onder die 4.000 vallen ook huisartsenpraktijken en apotheken, mits ze aan bepaalde drempels voldoen.
Valt uw praktijk onder de Cyberbeveiligingswet?
De Cyberbeveiligingswet is van toepassing op uw praktijk als u aan twee voorwaarden voldoet:
Voorwaarde 1: uw organisatie hoort bij een aangewezen sub-sector.
Voor de zorg zijn dat onder andere: zorgaanbieders (volgens de brede definitie uit de Wet kwaliteit, klachten en geschillen zorg), farmaceuten, fabrikanten van medische hulpmiddelen, en organisaties die onderzoek doen naar geneesmiddelen. Zowel apothekers als huisartsen vallen onder de Wkkgz-definitie van zorgaanbieder.
Voorwaarde 2: uw organisatie heeft 50 of meer werknemers, óf een jaaromzet en jaarbalans van meer dan 10 miljoen euro.
Voor een gemiddelde huisartsenpraktijk met 8 tot 12 medewerkers geldt de wet in principe niet direct. Voor een grote GGZ-instelling of een apotheek-conglomeraat wel. Er is echter een belangrijke nuance: de minister die verantwoordelijk is voor een sector, kan ook kleinere organisaties aanwijzen als ze een kritieke functie vervullen. Voor een huisartsenpost of een apotheek die als enige in de regio dienstverlening biedt, kan dat gelden.
Daarnaast is er de indirecte kant: als u levert aan een organisatie die wél onder NIS2 valt (bijvoorbeeld een ziekenhuis of een GGZ-instelling), kan die organisatie via contractuele eisen dezelfde beveiligingseisen aan u stellen. Dat is de ketenverantwoordelijkheid waar in de wetgeving expliciet op wordt ingegaan.
Twijfelt u of uw organisatie eronder valt?
Wij hebben een korte online scan van twaalf vragen waarmee u binnen tien minuten weet waar u staat. De uitkomst is geen juridisch bindend advies, maar geeft een goede eerste indicatie voor het gesprek met uw bestuur. De scan is gratis en vrijblijvend.
De drie verplichtingen: zorgplicht, meldplicht, registratieplicht
De Cyberbeveiligingswet kent drie hoofdverplichtingen. Elk vraagt actie van uw organisatie, en de acties zijn onderling verweven.
Zorgplicht: passende maatregelen nemen op basis van risicoanalyse
De zorgplicht verplicht u om technische en organisatorische maatregelen te nemen die passen bij de risico’s die uw organisatie loopt. Wat “passend” betekent, is niet exact voorgeschreven. De wet gebruikt de term “passend en evenredig, in lijn met de stand van de techniek”. Voor de zorg biedt de norm NEN 7510 het praktische kader.
Concreet betekent de zorgplicht dat uw praktijk het volgende op orde moet hebben:
Een risicoanalyse op papier. Niet als eenmalig document, maar als levend register dat u minstens jaarlijks actualiseert. Voor elke reële dreiging (ransomware, phishing, verlies van apparaat, uitval van HIS-leverancier) staat er wat u eraan doet en wie ervoor tekent.
Beveiligingsmaatregelen die de risico’s afdekken. Denk aan multi-factor authenticatie (MFA), een sterk toegangsbeleid, encryptie waar nodig, back-ups die getest worden, en trainingen voor uw team.
Een incidentbehandelingsproces. Voordat er iets misgaat, moet duidelijk zijn wie welke rol heeft. Dat u een draaiboek heeft is één; dat u dat draaiboek een keer heeft doorlopen is twee. In de praktijk is dat verschil groot.
Ketenverantwoordelijkheid. U bent verantwoordelijk voor de beveiliging in uw eigen omgeving, én voor de risico’s die u loopt door uw leveranciers. Dat betekent: gesprekken voeren met uw HIS-leverancier, uw apotheekmanagementsysteem-leverancier, uw hosting-partner, over hoe zij zelf NIS2-conform zijn.
In gewoon Nederlands: de zorgplicht dwingt u om cybersecurity te behandelen zoals u kwaliteitszorg behandelt. Niet als project dat af is, maar als proces dat loopt.
Meldplicht: 24 uur voor een vroege waarschuwing
Bij een significant cyberincident geldt onder NIS2 een getrapte meldplicht. De termijnen zijn scherp, en ze staan naast de datalekregeling uit de AVG (72 uur bij een datalek). Als een incident zowel een datalek is als een cyberbeveiligingsincident, meldt u dus twee keer: bij de Autoriteit Persoonsgegevens én bij de NIS2-toezichthouder.
Voor de zorg lopen NIS2-meldingen via het NCSC-portaal (mijn.ncsc.nl). Van daaruit worden ze doorgestuurd naar Z-CERT (het expertisecentrum voor cybersecurity in de zorg) en de IGJ. Z-CERT ondersteunt bij de afhandeling; de IGJ houdt toezicht op of uw organisatie aan de zorgplicht heeft voldaan.
De termijnen:
Binnen 24 uur na kennisname geeft u een vroege waarschuwing. In deze eerste melding staat wat er is gebeurd, welke systemen geraakt zijn, en of er sprake is van kwaadwillendheid.
Binnen 72 uur volgt een inhoudelijke melding met een eerste impact-inschatting.
Binnen één maand levert u een eindrapport op met de volledige analyse en welke maatregelen zijn getroffen om herhaling te voorkomen.
Wat telt als een significant incident? De precieze drempelwaarden voor de zorgsector worden vastgelegd in een ministeriële regeling die naar verwachting gelijktijdig met de wet in werking treedt. In grote lijnen: als het incident de continuïteit van de zorg substantieel raakt, is het significant. Denk aan een ransomware-aanval die uw HIS platlegt, een phishing-aanval waarbij patiëntgegevens zijn gestolen, of een langdurige uitval van uw communicatiesysteem.
In gewoon Nederlands: als er ’s avonds iets misgaat, moet u de volgende ochtend om 08:00 weten wie er belt met NCSC. Niet zoeken. Weten.
Registratieplicht: aanmelden bij de bevoegde autoriteit
Organisaties die onder de wet vallen, moeten zich registreren bij de bevoegde autoriteit. Voor de zorg loopt dat via het portaal van het NCSC (mijn.ncsc.nl). De registratie zelf is administratief en duurt ongeveer tien minuten als u de gegevens bij de hand heeft.
Wat u nodig heeft voor de registratie:
Contactgegevens van uw organisatie en de aangewezen verantwoordelijke voor cybersecurity.
Een overzicht van de essentiële en belangrijke diensten die u levert. Voor een huisartsenpraktijk zijn dat bijvoorbeeld: elektronische patiëntendossiers, recept-uitgifte, communicatie met de tweede lijn.
Een lijst van internetdomeinen die aan uw organisatie zijn gekoppeld.
Sectorclassificatie: bent u aangemerkt als essentiële entiteit (streng toezicht) of belangrijke entiteit (reactief toezicht)?
De registratie moet vanaf 1 juli 2026 mogelijk zijn. De overheid heeft aangegeven dat organisaties na inwerkingtreding een beperkte periode krijgen om zich aan te melden. Wacht daar niet op: als u nu al weet dat u eronder valt, verzamelt u nu al de benodigde gegevens.
Waarom bestuurders persoonlijk aansprakelijk zijn
Een van de meest ingrijpende onderdelen van NIS2 is de bestuurlijke aansprakelijkheid. Waar cybersecurity in het verleden vaak werd gedelegeerd aan een ICT-partner of een compliance-officer, legt NIS2 de verantwoordelijkheid expliciet bij het bestuur. Voor een eenmanspraktijk is dat de huisarts zelf. Voor een GGZ-instelling is dat het bestuur. Voor een apotheek-keten is dat de directie.
Concreet betekent dit:
Bestuurders moeten de cybersecurity-maatregelen goedkeuren en toezicht houden op de implementatie. Dat staat gedocumenteerd, met datum en handtekening.
Bestuurders moeten aantoonbaar kennis hebben van cybersecurity. Dat vraagt om periodieke bijscholing. De opleidingsplicht wordt in het Cyberbeveiligingsbesluit nader uitgewerkt.
Bij ernstige tekortkomingen kunnen bestuurders persoonlijk worden aangesproken. De sancties zijn zwaar: voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet, voor essentiële entiteiten tot 10 miljoen euro of 2%.
Wat dit betekent voor uw praktijk: het besluit over cybersecurity kan niet meer alleen bij “de ICT” liggen. Het bestuur moet weten wat er is besloten, waarom, en hoe wordt gecontroleerd dat het ook echt gebeurt. In de praktijk zien wij dat veel praktijken de techniek op orde hebben, maar de bestuurlijke documentatie niet. Dat is het punt dat de toezichthouder als eerste zal opvragen bij een audit of incident.
Wat is het verschil met NEN 7510?
Veel praktijken vragen ons: wij hebben NEN 7510, voldoen we dan niet automatisch aan NIS2? Het antwoord is: gedeeltelijk. NEN 7510 is een goede basis en dekt een groot deel van de zorgplicht af, maar NIS2 vraagt op vier punten meer.
Eén: NEN 7510 vraagt dat u uw informatiebeveiliging beschrijft. NIS2 vraagt dat u kunt aantonen wat u doet, op elk moment, ook aan een externe toezichthouder.
Twee: NEN 7510 kent geen externe meldplicht. NIS2 kent die wel, met scherpe termijnen (24 uur voor een vroege waarschuwing).
Drie: NEN 7510 legt de verantwoordelijkheid bij de organisatie. NIS2 legt die expliciet ook bij de bestuurder als persoon.
Vier: NEN 7510 gaat over uw eigen organisatie. NIS2 breidt dat uit naar uw leveranciersketen. U bent verantwoordelijk voor risico’s die via uw HIS-leverancier, uw hosting-partner, of uw softwareprovider bij u binnenkomen.
NEN 7510 is dus een goed startpunt, geen eindstation. Bent u recent naar de 2024-versie van de norm overgestapt, dan zit u al dichter bij NIS2-compliance, omdat die versie explicieter is over ketenverantwoordelijkheid en meldplicht dan de 2017-versie.
De ChipSoft-aanval als leerpunt
In april 2026 werd zorg-ICT-leverancier ChipSoft getroffen door een ransomware-aanval. Meerdere ziekenhuizen namen preventief hun patiëntportalen offline. Ook een aantal huisartsenpraktijken werd geraakt. Persoonsgegevens en medische gegevens zijn ontvreemd.
Voor de meeste praktijken was ChipSoft geen directe leverancier, maar de aanval maakt drie dingen zichtbaar die onder NIS2 relevant worden:
Leveranciersincidenten worden úw incidenten. Als ChipSoft de aanval had beleefd na 1 juli 2026, hadden alle getroffen zorgorganisaties zelf moeten melden bij de toezichthouder. Ook als zij zelf geen aandeel hadden in de oorzaak.
De kwaliteit van de communicatie vanuit ChipSoft (informatie druppelt binnen, patiëntportalen dagen offline) illustreert hoe belangrijk het is dat uw praktijk zélf een draaiboek heeft. Wachten op nadere informatie van uw leverancier terwijl uw patiënten bellen, is geen optie.
De scheidslijn tussen ziekenhuis-ICT en eerstelijns-ICT is dunner dan veel praktijken denken. Als uw HIS-leverancier hetzelfde bedrijf is dat ook koppelingen bij ziekenhuizen levert, loopt u indirect het risico van andere sectoren.
Checklist: wat te doen voor 1 juli 2026
Voor praktijken die nu concreet aan de slag willen, is dit onze aanbevolen route in de weken tot 1 juli.
Week 1: nulmeting
Voer een NIS2-scan uit. Bepaal of u onder de wet valt en zo ja: als essentiële of belangrijke entiteit. Documenteer de uitkomst.
Week 2: risicoanalyse
Breng de vijf grootste digitale risico’s van uw praktijk in kaart. Voor elke: wat is de kans, wat is de impact, wat doet u er nu al aan, wat zou er extra kunnen. Dit hoeft geen dikke rapportage te zijn. Twee A4’tjes werkt.
Week 3: bestuursbesluit
Leg voor aan uw bestuur: dit zijn onze risico’s, dit zijn de maatregelen, dit is wat we goedkeuren. Zorg dat het besluit gedocumenteerd is met datum en handtekening. Wijs één persoon aan als verantwoordelijke voor cybersecurity.
Week 4: leveranciers
Vraag uw belangrijkste leveranciers (HIS/AIS, hosting, telefonie, mail-provider) om een korte verklaring over hun NIS2-status. Een halfjaar geleden was dit een ongebruikelijk verzoek. Nu is het routine.
Week 5: draaiboek
Zorg dat u een incident-draaiboek heeft dat u kunt vinden zonder dat u erover na moet denken. Op papier. Fysiek in de praktijk. Met telefoonnummers erop. Test het één keer.
Week 6: registratie voorbereiden
Verzamel de gegevens die u nodig heeft voor de registratie bij het NCSC-portaal: contactgegevens, dienstenoverzicht, internetdomeinen. Wacht met de daadwerkelijke registratie tot het portaal live is.
Week 7 en 8: training
Plan een korte cybersecurity-training voor uw team. Niet één van drie uur waarin niemand oplet. Wel twee sessies van 45 minuten met een concrete oefening. Zo maakt u ook de opleidingsplicht van de bestuurder tegelijk waar.
Veelgestelde vragen
Wanneer treedt de Cyberbeveiligingswet exact in werking?
De verwachte inwerkingtreding is 1 juli 2026, na goedkeuring door de Eerste Kamer. De behandeling loopt in mei en juni 2026. Definitieve zekerheid is er pas na publicatie in het Staatsblad, wat doorgaans een week vóór de ingangsdatum plaatsvindt.
Wat is het verschil tussen een essentiële en een belangrijke entiteit?
Essentiële entiteiten vallen onder proactief toezicht: de toezichthouder controleert actief of u aan de eisen voldoet. Belangrijke entiteiten vallen onder reactief toezicht: de toezichthouder komt in beeld bij een incident of een klacht. De materiële verplichtingen (zorgplicht, meldplicht, registratieplicht) zijn voor beide categorieën vrijwel gelijk.
Onze huisartsenpraktijk heeft 6 medewerkers. Valt die onder de wet?
In principe niet direct. De omvangsdrempel voor de zorg is 50 medewerkers of een omzet plus balans boven 10 miljoen euro. Maar: als uw praktijk kritieke zorg levert in een regio waar geen alternatief is, of als u levert aan organisaties die wél onder NIS2 vallen (bijvoorbeeld via een ketenzorgcontract), kunnen er alsnog eisen op u van toepassing zijn.
Wij hebben een IT-partner. Waarom moet ik dan zelf iets doen?
Uw IT-partner is verantwoordelijk voor de systemen die zij beheren. U blijft eindverantwoordelijk voor het functioneren van uw praktijk. Onder NIS2 kunt u die verantwoordelijkheid niet overdragen. Wat u wél kunt: contractueel vastleggen dat uw partner meebeweegt met NIS2-eisen, en periodiek verantwoording aflegt over de status van hun eigen maatregelen.
Hoe hoog zijn de boetes precies?
Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet, waarvan het hoogste bedrag geldt. Voor essentiële entiteiten is dat 10 miljoen euro of 2%. In de praktijk zal de toezichthouder pragmatisch beginnen: bij een eerste tekortkoming is het aannemelijker dat er een verbeterplan wordt opgelegd dan direct een boete.
Is er een NIS2-certificering?
Nee. Anders dan bij bijvoorbeeld ISO 27001 of NEN 7510 is er in Nederland geen officieel NIS2- of Cyberbeveiligingswet-certificaat. U kunt wel aantonen dat u aan de zorgplicht voldoet via bestaande normkaders, waarvan NEN 7510 en ISO 27001 het meest gebruikt worden.
Hulp bij de eerste stap
Voor huisartsenpraktijken, apotheken en GGZ-instellingen in de eerstelijnszorg helpen wij bij het NIS2-traject. Onze aanpak:
Een gratis online scan van twaalf vragen waarmee u binnen tien minuten weet waar u staat.
Voor klanten waar wij ICT-beheerder zijn: een pasklaar sjabloon voor risicoanalyse, bestuursbesluit en incident-draaiboek, aangepast op de omvang van uw praktijk.
Voor bestuurders: een korte training van 45 minuten waarin u zonder jargon leert wat u minimaal moet weten om uw rol onder NIS2 te vervullen.
Twijfelt u waar u moet beginnen? Bel ons op 035 623 7999 of stuur een bericht via het contactformulier. We bellen doorgaans binnen een uur terug.
Deze blog is bijgewerkt in juni 2026 op basis van de meest recente stand van zaken rond de Cyberbeveiligingswet. Bij belangrijke ontwikkelingen actualiseren wij het artikel.
Wij zorgen dat jouw ICT altijd werkt!
Alle systemen operationeel
24/7 support
Hoofdvestiging
Eemweg 31-14
3755 LC Eemnes
Vestiging Rotterdam
Pesetastraat 78
2991 XT Barendrecht





Westers is ook
© 2026 Westers



