Cyberbeveiligingswet: stappenplan voor tijdelijke personeel leveranciers

Samenvatting

Cyberbeveiligingswet dwingt detacheerders en zzp-bemiddelaars binnen een maand om cybermaatregelen aantoonbaar op orde te hebben voor NIS2-klanten.

Cyberbeveiligingswet gaat snel in

De Cyberbeveiligingswet gaat over precies 1 maand in en scherpt de normen voor digitale veiligheid aan. ZiPconomy schrijft dat dit niet alleen gevolgen heeft voor de organisaties die direct onder de wet vallen, maar ook voor partijen in de flexmarkt zoals uitzendbureaus, detacheerders en zzp-bemiddelaars. Opdrachtgevers moeten strenger gaan toetsen hoe veilig hun leveranciers werken.

Het wetsvoorstel is op 15 april 2026 aangenomen door de Tweede Kamer; de behandeling in de Eerste Kamer moet nog volgen. De overheid stuurt aan op inwerkingtreding per 1 juli 2026. De wet is de Nederlandse implementatie van de Europese NIS2-richtlijn en vervangt de oudere NIS1.

Ketenverantwoordelijkheid raakt de flexketen

Hoewel veel bureaus niet direct NIS2-plichtig zijn, krijgen ze er toch mee te maken door ketenverantwoordelijkheid: organisaties moeten hun hele toeleveringsketen controleren. Overheidsinstanties passen volgens het artikel hun inkoopvoorwaarden al aan. Wie na 1 juli 2026 niet kan aantonen dat het aan de NIS2-eisen voldoet, loopt het risico niet meer te mogen meedingen naar overheidsopdrachten.

De ABU waarschuwt dat uitzendbureaus extra in beeld zijn, omdat uitzendkrachten vaak toegang krijgen tot systemen van opdrachtgevers en bureaus zelf veel persoonsgegevens verwerken. Een incident treft daarmee meerdere partijen tegelijk.