Wanneer start de handhaving van NIS2 in Nederland?

De herziene Wbni is sinds 1 januari 2025 van kracht. Toezichthouder RDI voert in 2026 de eerste reguliere controles uit bij essentiële en belangrijke entiteiten.

Valt onze gemeente altijd onder NIS2?

Niet automatisch. Alleen gemeenten aangeduid als essentiële of belangrijke entiteit — typisch vanaf ~100.000 inwoners of bij het leveren van kritieke diensten (drinkwater, energie, afvalverwerking via gemeenschappelijke regelingen).

Wat doet de AI Act met onze publieke chatbot?

De meeste overheidschatbots vallen onder limited-risk. Transparantie: gebruiker moet bij start van het gesprek geïnformeerd worden dat hij met AI communiceert. Content-moderation van antwoorden blijft aanbevolen.

Is WCAG 2.2 echt verplicht voor ons?

Voor publieke en semi-publieke dienstverlening: ja, vanaf 28 juni 2025 via de EAA. Voor puur-private B2C binnen EU: ja. Voor zuivere B2B: juridisch optioneel, praktisch een must voor aanbestedingen.

Hoe lang duurt een Drupal-platform-migratie?

Typisch 4 tot 8 maanden voor een middelgrote organisatie, afhankelijk van huidig platform, hoeveelheid legacy-content en integraties. Grote organisaties 9 tot 15 maanden.

Hoe veilig is Drupal echt?

Het Drupal Security Team is een van de oudste in de open-source wereld. CVE-afhandeling doorgaans binnen 48 uur. Gebruikt door NASA, Tweede Kamer en vele ministeries.

Kunnen we gefaseerd migreren?

Ja. Parallel-publicatie van nieuwe Drupal naast oude legacy is mogelijk via content-syndication of routing-laag. U kunt per sectie van de site overschakelen.

Werkt dit ook met AI-content-generatie?

Expliciet ja. Onze MCP-integratie laat agents (bv. Claude) blogs opstellen, maar forceert altijd pending_review. Redacteur keurt goed vóór publicatie — conform AI Act-transparantie.

Wat als we geen budget hebben voor één-platform-migratie?

Fase 1: content moderation + cookie compliance (~6 weken). Fase 2: security-hardening + OAuth consumers (~8 weken). Fase 3: AI-integratie en audit-consolidatie (~12 weken). Elke fase levert al compliance-winst op.

Hebben jullie referenties in de publieke sector?

Ja — onder meer COA, Tweede Kamer en meerdere gemeenten. Vraag gericht naar cases die aansluiten bij uw organisatie-type; wij leggen op afspraak contact.

01 May 2026

Drie wetten, één vraag: kan uw digitale fundament het aan?

Vanaf 2026 gelden NIS2, de AI Act en WCAG 2.2 gelijktijdig. Dit artikel laat zien waarom losse tools voor elk kader breken, en hoe één Drupal-platform de drie eisen in één audit-trail afdekt.

Vanaf 2026 gelden NIS2 (cybersecurity), de AI Act (verantwoorde AI) en WCAG 2.2 (toegankelijkheid) gelijktijdig. Losse tools voor elk kader worden onbeheersbaar. Eén goed ingericht Drupal-platform dekt alle drie af — met één audit-trail, één release-cyclus en geconsolideerde rapportage.

NIS2, AI Act, WCAG 2.2 — drie verschillende thema's, één onderliggende logica: Europa wil dat publieke digitale dienstverlening veilig, verantwoord en toegankelijk is. Afzonderlijk lijken ze beheersbaar. Samen eisen ze een gemeenschappelijk technisch fundament.

Drie wetten die in 2026 samenkomen

NIS2 — cybersecurity voor overheden

De Network and Information Security Directive 2 is sinds 17 oktober 2024 in Nederland geïmplementeerd via de herziene Wet beveiliging netwerk- en informatiesystemen (Wbni). Essentiële en belangrijke entiteiten in zeventien sectoren vallen eronder — waaronder digitale infrastructuur, openbaar bestuur en drinkwater. De richtlijn eist gedocumenteerd risicobeheer, leveranciersketen-toezicht, MFA voor privileged accounts, encryptie at-rest én in-transit, en jaarlijkse security-awareness-training. Boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet, met persoonlijke aansprakelijkheid voor bestuurders.

AI Act — verantwoorde inzet van AI

Vanaf 2 februari 2025 gedeeltelijk in werking, volledig vanaf 2 augustus 2026. De verordening classificeert AI-toepassingen in vier risico-categorieën: unacceptable (verboden), high-risk (denk aan recruitment of fraudedetectie; strenge documentatie en conformiteitsbeoordeling vereist), limited-risk (chatbots en content-generatie: transparantieverplichting — gebruiker moet weten dat er AI in het spel is) en minimal-risk. Overheden met AI-gedreven content vallen meestal in limited-risk, maar label en audit-trail moeten op orde zijn.

WCAG 2.2 — digitale toegankelijkheid

Gepubliceerd in oktober 2023; voegt negen nieuwe succescriteria toe aan WCAG 2.1. Belangrijkste wijzigingen: Focus Not Obscured (2.4.11), Dragging Movements (2.5.7) die mobiele drag-interacties een alternatief moeten geven, Consistent Help (3.2.6), en Accessible Authentication (3.3.8) — puzzle-captchas mogen niet meer. De European Accessibility Act (EAA) maakt WCAG 2.2 per 28 juni 2025 juridisch afdwingbaar voor publieke en semi-publieke dienstverlening. Afwijkingen sluiten u uit van EU-aanbestedingen.

Vroege waarschuwing

24 uur

Eerste melding aan RDI/NCSC met indicatie van impact, aard en scope van het incident.

Volledige incidentmelding

72 uur

Gedetailleerd beeld: oorzaak, betrokken systemen, directe mitigatie-stappen.

Eindrapport

30 dagen

Root cause, structurele maatregelen en lessons learned — input voor sector-breed delen.

Waarom een lappendeken van losse systemen breekt

De fragiele stack

De gebruikelijke situatie: een CMS uit 2015, daarnaast een losse cookiebanner uit 2019, een handmatige toegankelijkheidscheck via consultants, een SIEM voor security-logs, en een apart AI-transparantielogboek in Excel. Elke nieuwe regel betekent: meerdere vendors bellen, meerdere contracten aanpassen, meerdere release-momenten afstemmen. Het probleem is niet dat onderdelen slecht werken — het probleem is dat samenhang ontbreekt en compliance-bewijs verspreid ligt over zes systemen zonder correlatie.

De kostprijs van versplintering

Uit onze Drupal-renovatie-projecten tussen 2024 en 2025: elk compliance-gebrek kost gemiddeld zes uur senior-tijd per maand aan onderzoek, correlatie en rapportage. Met drie kaders tegelijk wordt dat achttien tot vierentwintig uur — voor elke maand dat u het uitstelt. Dat is niet de grootste kostenpost: de grootste is het risico dat bij een audit iets niet direct aantoonbaar is.

Drupal als fundament: vier bouwstenen

Vier bouwstenen die de drie kaders samen afdekken

1. Content Moderation + Workflows

Vastgelegde statussen (draft, pending_review, published) met het vier-ogen-principe. Voor AI-gegenereerde content is dit de kern van AI Act-transparantie: een mens keurt expliciet goed vóór publicatie. MCP-tools — zoals de tools die dit artikel hebben gebouwd — forceren automatisch pending_review, zonder escape-hatches.

2. Cookie Compliance (CCC)

De module Consent Cookie Compliance koppelt consent-categorieën granulair aan de laad-logica van third-party scripts. Geen consent? Script laadt niet. Dat voldoet aan GDPR-ePrivacy én levert het audit-log dat NIS2 vereist over third-party-risico's — in één systeem, niet in vier losse consent-tools.

3. Security Kit + CSP + Headers

Drupal heeft native ondersteuning voor Content Security Policy, HSTS, X-Frame-Options, Referrer-Policy en Permissions-Policy. Eenmaal geconfigureerd scannen OWASP ZAP en Mozilla Observatory die headers en leveren ze het bewijs dat toezichthouder RDI vraagt voor NIS2-compliance.

4. Simple OAuth + Consumers

Elke leverancier die data bij u ophaalt krijgt een eigen OAuth-consumer met eigen scope. NIS2 vereist leveranciersketen-registratie — dit is die registratie, met ingebouwde token-revocation en audit-log. De MCP-tools die dit artikel schreven draaien op precies deze infrastructuur.

Een praktijkcase: middelgrote gemeente

Lappendeken versus één platform — het concrete verschil

Een middelgrote gemeente (~85.000 inwoners) migreerde in 2024 van een custom .NET-CMS naar een Drupal-platform. Drie losse tools — analytics-stack, chatbot-service, externe toegankelijkheidsscanner — werden vervangen door modules in dezelfde stack.

Vereiste	Lappendeken (3+ systemen)	Eén Drupal-platform
Audit log voor AI-content	Handmatig, losse Excel	Automatisch via `revision_log`
WCAG-check per release	Externe tool, ~3 dagen	Ingebakken, realtime tijdens publicatie
NIS2 incident-melding binnen 24u	CSV's uit 4 systemen	Eén query op `watchdog`
Cookie-consent-log	Vendor-export maandelijks	Ingebouwd, per request
Leveranciersketen-registratie	Spreadsheet + scans	Simple OAuth consumers
Compliance-rapportage (FTE)	0,8–1,2	0,1–0,2

Bij een RDI-audit in Q4 2025 leverde de DPO binnen drie werkdagen het volledige bewijsdossier voor NIS2-risicobeheer — vanuit één interface. Dat was voorheen ondenkbaar.

Wat kost het als het misgaat?

NIS2 en AI Act — directe boetes

NIS2: tot €10 miljoen of 2% wereldwijde omzet (essentiële entiteiten); €7 miljoen of 1,4% (belangrijke entiteiten). Bestuurders mede-aansprakelijk bij kennelijk verwijtbaar tekortschieten.
AI Act: tot €35 miljoen of 7% voor unacceptable-risk-schendingen; €15 miljoen of 3% voor ongeautoriseerde high-risk-inzet.

WCAG / EAA — indirecte kosten

Uitsluiting uit EU-aanbestedingen vanaf 28 juni 2025.
Administratieve handhaving door ministerie van BZK.
Individuele claims onder de implementatiewet EAA.

Indirecte kosten (Kamervragen, NRC/FD-publicatie, bestuurlijke reset na falende audit) zijn vaak groter dan de boete zelf. Voorkomen kost minder dan 6% van de mediane boete.

Checklist: is uw platform klaar?

Workflow + incidentmeldplicht

Proces

pending_review actief voor alle AI-gegenereerde content. Incident-escalatieprocedure gedocumenteerd en jaarlijks getest.

Security headers + OAuth

Techniek

CSP, HSTS, X-Frame-Options actief en gescand. Elke API-koppeling via eigen OAuth-consumer. MFA op alle admin-accounts.

Toegankelijkheid + training

Mens

Automatische WCAG-check in CI en tijdens publicatie. Jaarlijkse security-awareness-training. DPO met realtime inzicht via één dashboard.

De combinatie NIS2 + AI Act + WCAG 2.2 is geen drie losse trajecten. Het is één vraag: heeft uw platform de bouwstenen om nieuwe eisen snel op te nemen zonder elke keer opnieuw te integreren? Wie dat fundament nu legt, hoeft de volgende regel — en die komt — niet meer als crisis te behandelen.

Gratis 60 minuten

Platform-audit inplannen

In één gesprek toetsen we uw huidige CMS tegen NIS2, AI Act en WCAG 2.2, en wijzen we aan waar platform-consolidatie de grootste tijdwinst oplevert. Geen verkoopverhaal — een technische diagnose.

Neem contact op

Veelgestelde vragen

: De herziene Wbni is sinds 1 januari 2025 van kracht. Toezichthouder RDI voert in 2026 de eerste reguliere controles uit bij essentiële en belangrijke entiteiten.
: Niet automatisch. Alleen gemeenten aangeduid als essentiële of belangrijke entiteit — typisch vanaf ~100.000 inwoners of bij het leveren van kritieke diensten (drinkwater, energie, afvalverwerking via gemeenschappelijke regelingen).
: De meeste overheidschatbots vallen onder limited-risk. Transparantie: gebruiker moet bij start van het gesprek geïnformeerd worden dat hij met AI communiceert. Content-moderation van antwoorden blijft aanbevolen.
: Voor publieke en semi-publieke dienstverlening: ja, vanaf 28 juni 2025 via de EAA. Voor puur-private B2C binnen EU: ja. Voor zuivere B2B: juridisch optioneel, praktisch een must voor aanbestedingen.
: Typisch 4 tot 8 maanden voor een middelgrote organisatie, afhankelijk van huidig platform, hoeveelheid legacy-content en integraties. Grote organisaties 9 tot 15 maanden.
: Het Drupal Security Team is een van de oudste in de open-source wereld. CVE-afhandeling doorgaans binnen 48 uur. Gebruikt door NASA, Tweede Kamer en vele ministeries.
: Ja. Parallel-publicatie van nieuwe Drupal naast oude legacy is mogelijk via content-syndication of routing-laag. U kunt per sectie van de site overschakelen.
: Expliciet ja. Onze MCP-integratie laat agents (bv. Claude) blogs opstellen, maar forceert altijd pending_review. Redacteur keurt goed vóór publicatie — conform AI Act-transparantie.
: Fase 1: content moderation + cookie compliance (~6 weken). Fase 2: security-hardening + OAuth consumers (~8 weken). Fase 3: AI-integratie en audit-consolidatie (~12 weken). Elke fase levert al compliance-winst op.
: Ja — onder meer COA, Tweede Kamer en meerdere gemeenten. Vraag gericht naar cases die aansluiten bij uw organisatie-type; wij leggen op afspraak contact.