1. [Home](/) /
2. [Blog](/blogs) /
3. Drie wetten, één vraag: kan uw digitale fundament het aan?
 
  01 May 2026 

# Drie wetten, één vraag: kan uw digitale fundament het aan?

Vanaf 2026 gelden NIS2, de AI Act en WCAG 2.2 gelijktijdig. Dit artikel laat zien waarom losse tools voor elk kader breken, en hoe één Drupal-platform de drie eisen in één audit-trail afdekt.

 

 Vanaf 2026 gelden NIS2 (cybersecurity), de AI Act (verantwoorde AI) en WCAG 2.2 (toegankelijkheid) gelijktijdig. Losse tools voor elk kader worden onbeheersbaar. Eén goed ingericht Drupal-platform dekt alle drie af — met één audit-trail, één release-cyclus en geconsolideerde rapportage.



 

 

 

 

 





NIS2, AI Act, WCAG 2.2 — drie verschillende thema's, één onderliggende logica: Europa wil dat publieke digitale dienstverlening veilig, verantwoord en toegankelijk is. Afzonderlijk lijken ze beheersbaar. Samen eisen ze een gemeenschappelijk technisch fundament.



 

 

 

 

 





 ## Drie wetten die in 2026 samenkomen

 

### NIS2 — cybersecurity voor overheden

De **Network and Information Security Directive 2** is sinds 17 oktober 2024 in Nederland geïmplementeerd via de herziene Wet beveiliging netwerk- en informatiesystemen (Wbni). Essentiële en belangrijke entiteiten in zeventien sectoren vallen eronder — waaronder digitale infrastructuur, openbaar bestuur en drinkwater. De richtlijn eist gedocumenteerd risicobeheer, leveranciersketen-toezicht, MFA voor privileged accounts, encryptie at-rest én in-transit, en jaarlijkse security-awareness-training. Boetes tot **€10 miljoen of 2% van de wereldwijde jaaromzet**, met persoonlijke aansprakelijkheid voor bestuurders.



 

 



### AI Act — verantwoorde inzet van AI

Vanaf 2 februari 2025 gedeeltelijk in werking, volledig vanaf 2 augustus 2026. De verordening classificeert AI-toepassingen in vier risico-categorieën: *unacceptable* (verboden), *high-risk* (denk aan recruitment of fraudedetectie; strenge documentatie en conformiteitsbeoordeling vereist), *limited-risk* (chatbots en content-generatie: transparantieverplichting — gebruiker moet weten dat er AI in het spel is) en *minimal-risk*. Overheden met AI-gedreven content vallen meestal in limited-risk, maar label en audit-trail moeten op orde zijn.



 

 



### WCAG 2.2 — digitale toegankelijkheid

Gepubliceerd in oktober 2023; voegt negen nieuwe succescriteria toe aan WCAG 2.1. Belangrijkste wijzigingen: Focus Not Obscured (2.4.11), Dragging Movements (2.5.7) die mobiele drag-interacties een alternatief moeten geven, Consistent Help (3.2.6), en Accessible Authentication (3.3.8) — puzzle-captchas mogen niet meer. De European Accessibility Act (EAA) maakt WCAG 2.2 per **28 juni 2025** juridisch afdwingbaar voor publieke en semi-publieke dienstverlening. Afwijkingen sluiten u uit van EU-aanbestedingen.



 

 



 

 

 

 

 

 





 

 

Vroege waarschuwing

### 24 uur

Eerste melding aan RDI/NCSC met indicatie van impact, aard en scope van het incident.

 

  

 

 

Volledige incidentmelding

### 72 uur

Gedetailleerd beeld: oorzaak, betrokken systemen, directe mitigatie-stappen.

 

  

 

 

Eindrapport

### 30 dagen

Root cause, structurele maatregelen en lessons learned — input voor sector-breed delen.

 

  

 

 

 





 ## Waarom een lappendeken van losse systemen breekt

 

### De fragiele stack

De gebruikelijke situatie: een CMS uit 2015, daarnaast een losse cookiebanner uit 2019, een handmatige toegankelijkheidscheck via consultants, een SIEM voor security-logs, en een apart AI-transparantielogboek in Excel. Elke nieuwe regel betekent: meerdere vendors bellen, meerdere contracten aanpassen, meerdere release-momenten afstemmen. Het probleem is niet dat onderdelen slecht werken — het probleem is dat samenhang ontbreekt en compliance-bewijs verspreid ligt over zes systemen zonder correlatie.



 

 



### De kostprijs van versplintering

Uit onze Drupal-renovatie-projecten tussen 2024 en 2025: elk compliance-gebrek kost gemiddeld **zes uur senior-tijd per maand** aan onderzoek, correlatie en rapportage. Met drie kaders tegelijk wordt dat achttien tot vierentwintig uur — voor elke maand dat u het uitstelt. Dat is niet de grootste kostenpost: de grootste is het risico dat bij een audit iets niet direct aantoonbaar is.



 

 



 

 

 

 

 

 





 ## Drupal als fundament: vier bouwstenen

 

 

 

 





 ## Vier bouwstenen die de drie kaders samen afdekken

 

### 1. Content Moderation + Workflows

Vastgelegde statussen (draft, pending\_review, published) met het vier-ogen-principe. Voor AI-gegenereerde content is dit de kern van AI Act-transparantie: een mens keurt expliciet goed vóór publicatie. MCP-tools — zoals de tools die dit artikel hebben gebouwd — forceren automatisch `pending_review`, zonder escape-hatches.



 

 



### 2. Cookie Compliance (CCC)

De module Consent Cookie Compliance koppelt consent-categorieën granulair aan de laad-logica van third-party scripts. Geen consent? Script laadt niet. Dat voldoet aan GDPR-ePrivacy én levert het audit-log dat NIS2 vereist over third-party-risico's — in één systeem, niet in vier losse consent-tools.



 

 



### 3. Security Kit + CSP + Headers

Drupal heeft native ondersteuning voor Content Security Policy, HSTS, X-Frame-Options, Referrer-Policy en Permissions-Policy. Eenmaal geconfigureerd scannen OWASP ZAP en Mozilla Observatory die headers en leveren ze het bewijs dat toezichthouder RDI vraagt voor NIS2-compliance.



 

 



### 4. Simple OAuth + Consumers

Elke leverancier die data bij u ophaalt krijgt een eigen OAuth-consumer met eigen scope. NIS2 vereist leveranciersketen-registratie — dit *is* die registratie, met ingebouwde token-revocation en audit-log. De MCP-tools die dit artikel schreven draaien op precies deze infrastructuur.



 

 



 

 

 

 

 

 





 ## Een praktijkcase: middelgrote gemeente

 

### Lappendeken versus één platform — het concrete verschil

Een middelgrote gemeente (~85.000 inwoners) migreerde in 2024 van een custom .NET-CMS naar een Drupal-platform. Drie losse tools — analytics-stack, chatbot-service, externe toegankelijkheidsscanner — werden vervangen door modules in dezelfde stack.

VereisteLappendeken (3+ systemen)Eén Drupal-platformAudit log voor AI-contentHandmatig, losse ExcelAutomatisch via `revision_log`WCAG-check per releaseExterne tool, ~3 dagenIngebakken, realtime tijdens publicatieNIS2 incident-melding binnen 24uCSV's uit 4 systemenEén query op `watchdog`Cookie-consent-logVendor-export maandelijksIngebouwd, per requestLeveranciersketen-registratieSpreadsheet + scansSimple OAuth consumers**Compliance-rapportage (FTE)**0,8–1,2**0,1–0,2**Bij een RDI-audit in Q4 2025 leverde de DPO binnen drie werkdagen het volledige bewijsdossier voor NIS2-risicobeheer — vanuit één interface. Dat was voorheen ondenkbaar.



 

 



 

 

 

 

 

 





 ## Wat kost het als het misgaat?

 

### NIS2 en AI Act — directe boetes

- **NIS2**: tot €10 miljoen of 2% wereldwijde omzet (essentiële entiteiten); €7 miljoen of 1,4% (belangrijke entiteiten). Bestuurders mede-aansprakelijk bij kennelijk verwijtbaar tekortschieten.
- **AI Act**: tot €35 miljoen of 7% voor unacceptable-risk-schendingen; €15 miljoen of 3% voor ongeautoriseerde high-risk-inzet.



 

 



### WCAG / EAA — indirecte kosten

- Uitsluiting uit EU-aanbestedingen vanaf 28 juni 2025.
- Administratieve handhaving door ministerie van BZK.
- Individuele claims onder de implementatiewet EAA.

Indirecte kosten (Kamervragen, NRC/FD-publicatie, bestuurlijke reset na falende audit) zijn vaak groter dan de boete zelf. Voorkomen kost minder dan 6% van de mediane boete.



 

 



 

 

 

 

 

 





 ## Checklist: is uw platform klaar?

 

 

 

 





 

 

Workflow + incidentmeldplicht

### Proces

pending_review actief voor alle AI-gegenereerde content. Incident-escalatieprocedure gedocumenteerd en jaarlijks getest.

 

  

 

 

Security headers + OAuth

### Techniek

CSP, HSTS, X-Frame-Options actief en gescand. Elke API-koppeling via eigen OAuth-consumer. MFA op alle admin-accounts.

 

  

 

 

Toegankelijkheid + training

### Mens

Automatische WCAG-check in CI en tijdens publicatie. Jaarlijkse security-awareness-training. DPO met realtime inzicht via één dashboard.

 

  

 

 

 





De combinatie NIS2 + AI Act + WCAG 2.2 is geen drie losse trajecten. Het is één vraag: heeft uw platform de bouwstenen om nieuwe eisen snel op te nemen zonder elke keer opnieuw te integreren? Wie dat fundament nu legt, hoeft de volgende regel — en die komt — niet meer als crisis te behandelen.



 

 

 

 

 





 

 Gratis 60 minuten## Platform-audit inplannen

 

In één gesprek toetsen we uw huidige CMS tegen NIS2, AI Act en WCAG 2.2, en wijzen we aan waar platform-consolidatie de grootste tijdwinst oplevert. Geen verkoopverhaal — een technische diagnose.

 [ Neem contact op     ](/contact) 

 

 

 

 

 

 





 ## Veelgestelde vragen

    Wanneer start de handhaving van NIS2 in Nederland?         De herziene Wbni is sinds 1 januari 2025 van kracht. Toezichthouder RDI voert in 2026 de eerste reguliere controles uit bij essentiële en belangrijke entiteiten.

 

 



   Valt onze gemeente altijd onder NIS2?         Niet automatisch. Alleen gemeenten aangeduid als essentiële of belangrijke entiteit — typisch vanaf ~100.000 inwoners of bij het leveren van kritieke diensten (drinkwater, energie, afvalverwerking via gemeenschappelijke regelingen).

 

 



   Wat doet de AI Act met onze publieke chatbot?         De meeste overheidschatbots vallen onder limited-risk. Transparantie: gebruiker moet bij start van het gesprek geïnformeerd worden dat hij met AI communiceert. Content-moderation van antwoorden blijft aanbevolen.

 

 



   Is WCAG 2.2 echt verplicht voor ons?         Voor publieke en semi-publieke dienstverlening: ja, vanaf 28 juni 2025 via de EAA. Voor puur-private B2C binnen EU: ja. Voor zuivere B2B: juridisch optioneel, praktisch een must voor aanbestedingen.

 

 



   Hoe lang duurt een Drupal-platform-migratie?         Typisch 4 tot 8 maanden voor een middelgrote organisatie, afhankelijk van huidig platform, hoeveelheid legacy-content en integraties. Grote organisaties 9 tot 15 maanden.

 

 



   Hoe veilig is Drupal echt?         Het Drupal Security Team is een van de oudste in de open-source wereld. CVE-afhandeling doorgaans binnen 48 uur. Gebruikt door NASA, Tweede Kamer en vele ministeries.

 

 



   Kunnen we gefaseerd migreren?         Ja. Parallel-publicatie van nieuwe Drupal naast oude legacy is mogelijk via content-syndication of routing-laag. U kunt per sectie van de site overschakelen.

 

 



   Werkt dit ook met AI-content-generatie?         Expliciet ja. Onze MCP-integratie laat agents (bv. Claude) blogs opstellen, maar forceert altijd pending\_review. Redacteur keurt goed vóór publicatie — conform AI Act-transparantie.

 

 



   Wat als we geen budget hebben voor één-platform-migratie?         Fase 1: content moderation + cookie compliance (~6 weken). Fase 2: security-hardening + OAuth consumers (~8 weken). Fase 3: AI-integratie en audit-consolidatie (~12 weken). Elke fase levert al compliance-winst op.

 

 



   Hebben jullie referenties in de publieke sector?         Ja — onder meer COA, Tweede Kamer en meerdere gemeenten. Vraag gericht naar cases die aansluiten bij uw organisatie-type; wij leggen op afspraak contact.