Transafe logo wit
Asset 2warning
Emergency Response

+31 (0) 78 682 43 00 

MEMO: Zorgplicht cybersecurity voor haven en binnenvaart (NIS2)

6 maart 2026

Binnenvaart vanaf de dak van een landtank met op de voorgrond een binnenvaartschip en op de achtergrond een zeeschip

De Europese NIS2-richtlijn en de aankomende Nederlandse Cyberbeveiligingswet (Cbw) hebben gevolgen voor organisaties in de haven- en binnenvaartsector. 

Naar aanleiding van vragen vanuit de branche informeren wij hierbij over de gevolgen van de Europese NIS2-richtlijn en de aankomende Nederlandse Cyberbeveiligingswet (Cbw) voor organisaties in de haven- en binnenvaartsector en aanverwante activiteiten. De Cbw is in Nederland nog niet actief, maar het NCSC (Nationaal Cyber Security Centrum) verwacht inwerkingtreding in Q2 2026.

Transafe heeft in samenwerking met BOEM Cybersecurity uitgezocht in hoeverre vervoer over water (binnenvaart en scheepvaartdiensten), petrochemie, afvalverwerking en (haven)opslag/terminals onder de NIS2-richtlijn en de aanstaande Nederlandse Cyberbeveiligingswet (Cbw) vallen.

Reikwijdte van de wetgeving

De Cyberbeveiligingswet is van toepassing op middelgrote en grote organisaties. Dit betreft ondernemingen met:

  • meer dan 50 medewerkers, of
  • een jaaromzet van meer dan € 10 miljoen.

Binnen de haven- en watergebonden sectoren kan de wet onder meer van toepassing zijn op:

  • watertransportbedrijven (binnenvaart, kust- en zeevervoer van passagiers en goederen);
  • beheerders van havens en havenfaciliteiten;
  • exploitanten van terminals, kades en havenuitrusting;
  • organisaties die verantwoordelijk zijn voor verkeersbegeleiding op het water;
  • petrochemische en chemische ondernemingen;
  • olieproductie-, raffinage- en opslagbedrijven;
  • ondernemingen waarvan afvalverwerking de kernactiviteit vormt;
  • opslag- en tankterminalbedrijven in havengebieden.

Indirecte gevolgen voor toeleveranciers

Ook organisaties die niet rechtstreeks onder de wet vallen, kunnen indirect met NIS2 te maken krijgen. Ondernemingen die wél onder de wet vallen, zijn namelijk verplicht om risico’s binnen hun toeleveringsketen te beheersen. Dit kan leiden tot:

  • aanvullende contractuele eisen;
  • audits of Assurance verzoeken
  • eisen ten aanzien van beveiligingsmaatregelen;
  • verplichtingen rond incidentmelding en continuïteitsborging.

Kort gezegd: Wie de haven draaiende houdt (faciliteiten, terminals, kritieke havenassets, transportschepen) zit sneller in de scope dan een puur “dienstverlener rondom schepen”. Veel “petrochemie in havenclusters” zijn ofwel direct in scope (haven/terminal, olie, chemie) of raakt scope via meerdere categorieën tegelijk. Specifieke verdieping is te vinden in NIS2 Bijlage I en II.

Aan de slag met Cbw (NIS2) Control Framework

Met de invoering van de Cyberbeveiligingswet (Cbw, NIS2) wordt de verantwoordelijkheid voor cyberweerbaarheid nadrukkelijk bij organisaties en hun bestuurders neergelegd. Om overzicht te creëren en gericht te kunnen sturen is het Cbw (NIS2) Control Framework ontwikkeld. Het framework is bedoeld voor organisaties die als essentiële of belangrijke entiteit onder de Cyberbeveiligingswet vallen, en voor IT-auditors en interne beheerders die betrokken zijn bij het evalueren van cyberweerbaarheid en naleving van wet- en regelgeving. Het Framework biedt een overzicht van de wettelijke vereisten en een praktisch hulpmiddel om verbeterpunten te identificeren en beheersmaatregelen te treffen.


Het framework is zo opgezet dat het toepasbaar is voor alle sectoren en entiteiten binnen de doelgroep van de wetgeving. Het dient als ondersteunend instrument en niet als normatief kader. Entiteiten blijven zelf verantwoordelijk voor het bepalen welke beveiligingsmaatregelen passend en proportioneel zijn binnen hun specifieke context en risicoprofiel. Het framework is beschikbaar in Excel en te downloaden via onderstaande knop.

Control Framework downloaden

Vier valkuilen rondom NIS2

Als laatst willen wij waarschuwen voor 4-tal valkuilen rondom NIS2. De NIS2-richtlijn oogt op papier overzichtelijk: tien maatregelen, duidelijke eisen en een risicogebaseerde aanpak maar tussen het lezen van de richtlijn, met name artikel 21, en de daadwerkelijke implementatie kunnen misinterpretaties ontstaan:

  1. “We hebben ISO 27001, dus we zijn klaar, toch?”
    ISO 27001 is een uitstekende basis, maar organisaties moeten een expliciete gap-analyse uitvoeren om te verifiëren dat alle onderdelen zijn afgedekt - met name op ketenbeveiliging en de aangescherpte zorgplicht van het management.

  2. De checklijst valkuil
    De richtlijn vereist expliciet dat organisaties de effectiviteit van hun cybersecurity-risicobeheersmaatregelen beoordelen. Dat is geen afvinkactie, maar een doorlopende verplichting om te laten zien dat maatregelen daadwerkelijk functioneren en bedrijfscontinuïteit geborgd is.

  3. Proportionaliteit als excuus voor uitstel
    “Wij zijn een kleine organisatie, dus we mogen proportioneel zijn” is de strijdkreet geworden van onvoldoende voorbereide organisaties. Proportionaliteit kijkt naar de omvang, risicoblootstelling, alsmede de waarschijnlijkheid en impact van incidenten, inclusief maatschappelijke en economische gevolgen. Proportionaliteit gaat over het afstemmen van beveiliging op risico, niet over het afstemmen van inspanning op budgetcomfort.

  4. Wachten op perfecte duidelijkheid
    “We wachten totdat de wet in werking treedt’’. De uitwerking is nog niet duidelijk.” Ondanks dat de Nederlandse Cybersecuritywet in Q2/2026 in werking zal treden is de richtlijn sinds januari 2023 van kracht. De tien minimummaatregelen zijn al vastgesteld. Wachten tot iemand exact voorschrijft hoe je je organisatie moet beveiligen is alsof je wacht tot de brandweer bevestigt dat water nat is - tegen die tijd hadden de sprinklers al geïnstalleerd moeten zijn.

Conclusie

De komst van de Cyberbeveiligingswet (Cbw) stelt organisaties voor keuzes op het gebied van informatiebeveiliging. Een succesvolle implementatie kenmerkt zich niet door de omvang van de documentatie, maar door de aantoonbare beheersing van uw specifieke risico's. De begrippen "passend en proportioneel" uit de richtlijn dienen hierbij niet geïnterpreteerd te worden als een kader voor minimale inspanning, maar als een oproep tot een gerichte aansluiting op uw daadwerkelijke risicoprofiel. Toezichthouders zullen in de nabije toekomst niet enkel vragen naar vastgelegd beleid, maar nadrukkelijk verzoeken om bewijs van de feitelijke effectiviteit van de getroffen maatregelen.

Wij adviseren dan ook om te starten met een gedegen, objectieve risicoanalyse. Door maatregelen te implementeren die de kwetsbaarheden daadwerkelijk aanpakken en door de werking hiervan structureel te borgen, voldoe je aan de zorgplicht die de wet voorschrijft. De flexibiliteit die de richtlijn biedt, dient hierbij beschouwd te worden als ruimte voor noodzakelijk maatwerk.

Mocht je vragen hebben over dit onderwerp dan horen wij het graag.

Als je ondersteuning wilt bij het uitvoeren van het Cbw Framework of een NIS2-Directietraining zoekt voor jouw organisatie adviseren wij contact op te nemen met BOEM Cybersecurity. Zij zijn gespecialiseerd in Cybersecurity en helpen je graag verder.


Logo van Boem Cybersecurity met blauw en oranje letters

Contactpersoon BOEM Cybersecurity:
Clayton Inge (Field CISO & BD Manager)
clayton.inge@boemcybersecurity.nl
+31(0)6 81 45 95 54