Cyberbeveiligingswet: stappenplan voor flexmarkt leveranciers

Samenvatting

Cyberbeveiligingswet dwingt flexmarktleveranciers binnen een maand NIS2-eisen te bewijzen, anders kunnen opdrachten wegvallen.

Cyberbeveiligingswet en NIS2-ketenplicht

De nieuwe Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, gaat volgens de overheid per 1 juli 2026 in. De Tweede Kamer nam het wetsvoorstel op 15 april 2026 aan; de behandeling door de Eerste Kamer moet nog volgen. NIS2 vervangt de verouderde NIS1 en legt strengere normen op aan veel meer organisaties dan voorheen. Waar eerder vooral aangewezen vitale partijen zoals ziekenhuizen, energieleveranciers en banken onder regels vielen, vallen nu ook middelgrote bedrijven eronder en zijn 11 sectoren toegevoegd, waaronder post- en koeriersdiensten, maakindustrie en openbaar bestuur zoals gemeenten en provincies.

Voor uitzendbureaus, detacheerders en zzp-bemiddelaars zit de pijn in de ketenverantwoordelijkheid: ook als je niet direct onder de wet valt, krijg je de eisen via je opdrachtgever opgelegd. Opdrachtgevers moeten hun hele toeleveringsketen controleren en gaan dus meer bewijs vragen over de cyberveiligheid van bureaus en onderaannemers.

Wat bureaus en bemiddelaars raakt

Flexleveranciers staan extra in de spotlights omdat uitzendkrachten vaak direct toegang krijgen tot systemen, processen en gegevens van de opdrachtgever, soms met gevoelige informatie. Tegelijk verwerken bureaus zelf veel persoonsgegevens, zoals looninformatie en contractdata. Overheidsinstanties passen inkoopvoorwaarden al aan; wie na 1 juli 2026 niet kan aantonen dat hij aan NIS2-eisen voldoet, kan volgens de bron het risico lopen niet meer te mogen meedingen naar overheidsopdrachten. De ABU waarschuwt leden daarom om snel aan de slag te gaan.