PC Patrol DNSWatcher
NIS2 & Compliance

NIS2 en DNS: wat de Cyberbeveiligingswet vanaf juli 2026 van Nederlandse organisaties vraagt

· 8 min lezen
Divers team in een moderne vergaderzaal met laptops, symbool voor de bestuursverantwoordelijkheid die NIS2 en de Cyberbeveiligingswet introduceren
Foto: Rebrand Cities via Pexels

In 2026 staan Nederlandse organisaties voor een belangrijke nieuwe verplichting: de Cyberbeveiligingswet (Cbw), de Nederlandse implementatie van de Europese NIS2-richtlijn. Op 15 april 2026 nam de Tweede Kamer het wetsvoorstel aan, en de verwachting is dat de wet rond 1 juli 2026 in werking treedt na behandeling door de Eerste Kamer.

Wat veel organisaties zich nog niet realiseren: DNS speelt een veel grotere rol in NIS2-compliance dan vaak gedacht. ENISA, het Europese cyberagentschap, heeft DNS expliciet benoemd als onderdeel van het risicobeheer onder NIS2. In dit artikel lees je wat dat concreet betekent voor je domeinen, e-mailbeveiliging en monitoring.

De status van de Cyberbeveiligingswet in mei 2026

De Cyberbeveiligingswet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en implementeert de Europese NIS2-richtlijn in Nederland. De belangrijkste mijlpalen:

  • 17 oktober 2024: oorspronkelijke EU-deadline voor implementatie (Nederland heeft deze gemist, net als een aantal andere lidstaten).
  • 15 april 2026: aanname van het wetsvoorstel door de Tweede Kamer.
  • Rond 1 juli 2026: verwachte inwerkingtreding na behandeling door de Eerste Kamer.

Het NCSC adviseert organisaties expliciet om niet af te wachten tot de wet ingaat. De risico's bestaan immers nu al, en wachten betekent straks haastig moeten compliant worden.

De drie pijlers van de Cyberbeveiligingswet

Voor organisaties die onder de Cbw vallen, gelden drie kernverplichtingen.

1. Registratieplicht

Je moet je organisatie aanmelden in het entiteitenregister. Het NCSC en sectorale toezichthouders gebruiken dit register om te bepalen wie onder de wet valt.

2. Zorgplicht

Je voert een risicoanalyse uit en neemt op basis daarvan passende en evenredige technische, organisatorische en operationele maatregelen. Dit is waar DNS-beveiliging direct relevant wordt.

3. Meldplicht

Bij een significant incident geldt een gefaseerde meldplicht:

  • Binnen 24 uur: vroegtijdige waarschuwing bij het NCSC of het CSIRT voor jouw sector.
  • Binnen 72 uur: vervolgmelding met aanvullende informatie en eerste analyse.
  • Binnen 1 maand: eindverslag met oorzaak, impact en genomen maatregelen.

Deze korte deadlines maken automatische detectie en logging cruciaal. Handmatig achteraf reconstrueren wat er gebeurd is, redt het simpelweg niet binnen 24 uur.

Wat zegt NIS2 over DNS?

Artikel 21 van de NIS2-richtlijn verplicht entiteiten "passende en evenredige technische, operationele en organisatorische maatregelen" te nemen voor netwerk- en informatiebeveiliging. ENISA heeft deze open norm uitgewerkt in concrete technische guidance.

In sectie 6.7 van de ENISA Technical Implementation Guidance staan vijf DNS-praktijken die expliciet als good practice worden benoemd:

  1. Deploy DNSSEC voor cryptografische integriteit van DNS-antwoorden.
  2. Deploy Protective DNS waar technisch haalbaar.
  3. Versleutel DNS-verkeer, intern en extern (DoT en DoH).
  4. Gebruik dedicated DNS-servers in plaats van gedeelde infrastructuur.
  5. Volg erkende deployment guidance zoals NIST SP 800-81.

ENISA refereert daarbij expliciet aan NIST SP 800-81, waarin DNS wordt behandeld als een fundamentele beveiligingscontrole, niet als een neutrale naamdienst.

Wat betekent dit concreet voor jouw organisatie?

DNSSEC inschakelen en actief monitoren

DNSSEC moet niet alleen aan staan, maar ook blijven werken. Een DS-record dat niet meer matcht met je actieve DNSKEY zorgt voor SERVFAIL-fouten en daarmee voor onbereikbaarheid van je dienst. Onder de zorgplicht is "we hebben het ooit aangezet" geen verdedigbare positie meer; je moet kunnen aantonen dat de keten continu klopt. De recente .de DNSSEC-storing van 5 mei 2026 laat zien hoe snel een misser hier impact heeft.

DNS-hygiene als doorlopend proces

ENISA en NIST noemen drie specifieke aandachtspunten:

  • Stale records: oude DNS-records van diensten die niet meer bestaan.
  • Dangling CNAMEs: CNAME-verwijzingen naar inmiddels vrijgekomen subdomeinen, een bekende vector voor subdomain takeover.
  • Lame delegations: verwijzingen naar nameservers die je domein niet meer bedienen.

Deze checks horen niet thuis in een jaarlijkse audit, maar in dagelijkse monitoring.

E-mailauthenticatie op orde

SPF, DKIM en DMARC zijn geen losse "nice to haves" meer. Onder NIS2 vallen ze onder de bredere zorgplicht voor communicatiebeveiliging. Zonder geldige DMARC met p=quarantine of p=reject is je domein een open uitnodiging voor phishingcampagnes die uit kunnen lopen op een meldplicht-incident. Lees hoe je SPF, DKIM en DMARC correct configureert voor een praktische uitwerking.

DNS-logging als bewijsmateriaal

De meldplicht binnen 24 uur dwingt tot proactieve logging. DNS-query- en antwoorddata zijn vaak de eerste plek waar je een aanval ziet: ongebruikelijke lookups naar command-and-control-domeinen, plotse pieken naar nieuwe subdomeinen, of validatiefouten die wijzen op manipulatie. Zonder doorlopende logging mis je niet alleen detectie, maar ook het bewijs dat je nodig hebt voor je melding.

Bestuurdersaansprakelijkheid: niet meer alleen IT

Een van de grootste veranderingen onder NIS2: cybersecurity is geen IT-onderwerp meer, maar een bestuursverantwoordelijkheid. De Cyberbeveiligingswet bepaalt dat bestuurders:

  • De cyberbeveiligingsmaatregelen moeten goedkeuren.
  • Toezicht houden op de uitvoering.
  • Voldoende kennis moeten hebben om die goedkeuring weloverwogen te geven.

Bij ernstige tekortkomingen kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Dat verandert het gesprek aan de bestuurstafel fundamenteel: "ons IT-team regelt DNS wel" is geen sluitend antwoord meer.

Praktische roadmap richting 1 juli 2026

Een werkbaar plan voor de komende maanden:

  1. Bepaal of je onder de Cbw valt. Sectoren in Annex I (essentieel) en Annex II (belangrijk) van NIS2 zijn het uitgangspunt. Raadpleeg de NCSC-FAQ voor de Nederlandse uitwerking.
  2. Inventariseer al je domeinen. Niet alleen je hoofddomein, maar ook parkeerdomeinen, marketingdomeinen en oude acquisitiedomeinen.
  3. Activeer DNSSEC waar dat nog niet gebeurd is, en zorg voor doorlopende validatie van de keten.
  4. Implementeer DMARC met minimaal p=quarantine, na een fase van p=none met monitoring.
  5. Zet DNS-hygiene checks op: stale records, dangling CNAMEs, lame delegations.
  6. Richt logging in met retentie die past bij de meldplicht. Minimaal 12 maanden is een veilige ondergrens.
  7. Breng het naar de bestuurstafel. Een korte awareness-sessie en een goedkeuringsmoment per kwartaal is een minimum.

Hoe helpt DNSWatcher hierbij?

DNSWatcher is gebouwd rond precies de DNS-eisen die ENISA en de Cyberbeveiligingswet stellen: continue validatie van je DNSSEC-keten, monitoring van SPF, DKIM en DMARC, detectie van stale records en dangling CNAMEs, en automatische alerts bij wijzigingen die op manipulatie kunnen wijzen.

Voor de meldplicht is dit dubbel waardevol: je ziet incidenten eerder en je hebt direct de logdata om binnen 24 uur een onderbouwde melding bij het NCSC in te dienen.

Veelgestelde vragen

Valt mijn MKB-bedrijf onder de Cyberbeveiligingswet?

Dat hangt af van je sector en grootte. De Cbw geldt voor "essentiele" en "belangrijke" entiteiten in sectoren genoemd in Annex I en II van NIS2. Bedrijven met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet in deze sectoren vallen er meestal onder. Het NCSC publiceert een entiteitenregister en hulpmiddelen om je status te bepalen.

Is DNSSEC verplicht onder NIS2?

NIS2 noemt DNSSEC niet als harde verplichting, maar ENISA's implementatieguidance beveelt het expliciet aan als good practice. In de praktijk betekent dit dat een toezichthouder bij een DNS-gerelateerd incident zal vragen waarom je het niet had ingeschakeld. Zonder DNSSEC kun je moeilijk aantonen dat je "passende en evenredige" maatregelen hebt genomen.

Wat gebeurt er als ik niet voldoe?

De Cyberbeveiligingswet voorziet in boetes vergelijkbaar met die van NIS2: tot 10 miljoen euro of 2 procent van de wereldwijde omzet voor essentiele entiteiten, en tot 7 miljoen euro of 1,4 procent voor belangrijke entiteiten. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Geldt de meldplicht ook voor DNS-storingen?

Ja, als de storing een significant effect heeft op je dienstverlening of die van klanten. Een DNSSEC-misconfiguratie die je hoofddomein onbereikbaar maakt, valt daar al snel onder. De .de-storing van 5 mei 2026 is een voorbeeld van hoe snel een DNS-probleem tot een meldplicht-incident kan escaleren.

Hoe verhoudt NIS2 zich tot de AVG?

De AVG gaat over persoonsgegevens, NIS2 over de beschikbaarheid en integriteit van netwerk- en informatiesystemen. Ze overlappen waar een cyberincident persoonsgegevens raakt: dan heb je te maken met beide regimes, inclusief beide meldplichten (binnen 72 uur bij de Autoriteit Persoonsgegevens voor AVG, binnen 24 uur bij het NCSC voor de Cbw).

Kan ik wachten tot na 1 juli?

Het NCSC adviseert nadrukkelijk om dat niet te doen. De zorgplicht is geen knop die op 1 juli omgaat; risico's bestaan nu al, en organisaties die wachten lopen het risico op 1 juli niet compliant te zijn en in de tussentijd een meldplicht-incident op te lopen.

Conclusie

NIS2 en de Nederlandse Cyberbeveiligingswet maken DNS-beveiliging definitief tot een bestuursverantwoordelijkheid. ENISA's guidance is glashelder: DNSSEC, protective DNS, DNS-hygiene en logging horen tot de basismaatregelen die je moet kunnen aantonen.

Wachten tot 1 juli 2026 is geen optie. Begin met een inventarisatie van je domeinen, zet DNSSEC en DMARC scherp, en zorg dat je logging en monitoring op orde zijn ruim voor de wet ingaat. Niet alleen om compliant te zijn, maar vooral om incidenten te voorkomen die anders binnen 24 uur op het bureau van je bestuur belanden.


Bronnen en verder lezen:

Gerelateerde berichten

Meer over wetgeving, compliance en wat NIS2 betekent voor jouw DNS- en e-mailbeleid.