Op 1 juli 2026 treedt de Cyberbeveiligingswet in werking. Dat is over vier weken. Toch zijn er ondernemers die er nooit van gehoord hebben. Anderen weten dat het eraan komt, maar hebben het idee dat het "voor grote bedrijven" is. Beide groepen vergissen zich. De wet raakt naar schatting 8.000 tot 10.000 Nederlandse organisaties direct, en indirect nog veel meer.
Wat is de Cyberbeveiligingswet precies?
De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn (Network and Information Security). De EU verplicht lidstaten om strengere eisen te stellen aan de digitale veiligheid van organisaties in kritieke sectoren. Nederland heeft de invoering later opgepakt dan sommige andere landen, maar per 1 juli 2026 wordt de wet van kracht.
De kern: bedrijven en organisaties die onder de wet vallen, moeten aantoonbaar werk maken van hun cyberbeveiliging. Dat gaat verder dan een wachtwoordbeleid of een virusscanner. Het gaat om een compleet stelsel van maatregelen, procedures en verantwoordelijkheden.
Valt jouw bedrijf eronder?
De wet richt zich op organisaties in kritieke en zogenoemde belangrijke sectoren. Denk aan energie, transport, water, banken, zorg, digitale infrastructuur en overheid. Maar de lijst is breder dan je misschien verwacht. Ook sectoren als voeding, chemie, post en afvalbeheer vallen eronder.
Er zijn twee categorieen: essentiële entiteiten (grote spelers in kritieke sectoren) en belangrijke entiteiten (middelgrote organisaties in dezelfde of aanverwante sectoren). Essentiële entiteiten worden strenger gecontroleerd, maar voor beide categorieen gelden dezelfde basisverplichtingen.
Ben je een mkb-bedrijf onder de 50 medewerkers en 10 miljoen euro omzet? Dan val je in principe buiten de directe werkingssfeer. Maar lever je diensten aan organisaties die wel onder de wet vallen, dan ben jij alsnog in beeld via de keteneis. Meer hierover verderop.
Wat wordt van organisaties verwacht?
De wet kent vier concrete verplichtingen:
- Zorgplicht: je moet risicos in kaart brengen en passende technische en organisatorische maatregelen nemen. Denk aan toegangsbeheer, versleuteling, back-upprocedures en incidentrespons.
- Meldplicht: een significant incident moet binnen 24 uur gemeld worden bij de toezichthouder. Binnen 72 uur volgt een uitgebreider rapport, en binnen een maand een eindmelding.
- Registratieplicht: organisaties moeten zich registreren bij de bevoegde autoriteit.
- Opleidingsplicht: bestuurders moeten aantoonbare kennis hebben van cybersecurity. Ze kunnen niet meer zeggen dat de IT-afdeling dat regelt.
Dat laatste punt verdient apart aandacht. Met de Cyberbeveiligingswet wordt cybersecurity expliciet een bestuurderszaak. Als er iets misgaat, kunnen toezichthouders rechtstreeks de directie aanspreken. Een goed begrip van cyberbeveiligingsbewustzijn binnen de hele organisatie is daarmee niet langer optioneel.
De keteneis raakt ook leveranciers
Dit is het onderdeel dat veel mkb-ondernemers onderschatten. Valt een van jouw klanten onder de Cyberbeveiligingswet? Dan is die klant verplicht om risicos in de hele keten te beheren. In de praktijk betekent dat: ze sturen jou een vragenlijst over jouw beveiligingsmaatregelen. Of ze nemen een beveiligingsclausule op in het contract.
Wie daar geen antwoord op heeft, of wiens beveiliging tekortschiet, riskeert opdrachten te verliezen. Niet omdat jij zelf een boete krijgt van de toezichthouder, maar omdat jouw klant jou niet meer kan inschakelen zonder hun eigen compliance in gevaar te brengen.
Als je software levert, IT-diensten verleent, of toegang hebt tot de systemen van een grote zorginstelling, een energiebedrijf of een overheidsorganisatie, is de kans groot dat je binnenkort vragen krijgt. Beter om alvast je systemen en beveiligingsmaatregelen op orde te hebben dan achteraf in te moeten halen.
Wat je nu concreet kunt doen
Experts schatten dat de meeste organisaties vier tot zes maanden nodig hebben om volledig compliant te worden. Dat betekent dat je voor 1 juli eigenlijk niet meer van nul af kunt beginnen. Toch is het zeker niet te laat om te starten met de eerste stappen.
- Bepaal of je direct onder de wet valt. Gebruik de informatie op ondernemersplein.overheid.nl om te checken of jouw sector in scope is.
- Breng je risicolandschap in kaart. Welke systemen zijn kritiek voor je bedrijfsvoering? Waar zitten de kwetsbaarheden?
- Stel een meldprocedure op. Weet iedereen in de organisatie wat te doen bij een incident? Wie belt wie?
- Laat het bestuur aanschuiven. Organiseer een sessie waarbij je directie wordt bijgepraat over de verplichtingen en risicos.
- Check je contracten met leveranciers. Leg beveiligingseisen vast voor partijen die toegang hebben tot jouw systemen.
Wat zijn de gevolgen als je niets doet?
De toezichthouders krijgen onder de Cyberbeveiligingswet bevoegdheden die vergelijkbaar zijn met die onder de AVG. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de omzet.
Dat zijn worst-case scenarios voor structurele niet-naleving. In de praktijk zal de toezichthouder eerst waarschuwen en hersteltermijnen geven. Maar reputatieschade door een gemeld incident, of het verliezen van klanten die jou doorlichten, zijn gevolgen die al veel eerder optreden.
De stap die je vandaag kunt zetten
Je hoeft niet meteen een heel cybersecurityprogramma op te tuigen. Maar niets doen is geen optie meer. De meest zinvolle eerste stap is simpel: ga na of jouw organisatie direct of indirect onder de Cyberbeveiligingswet valt. Kijk daarvoor op de pagina van het Nationaal Cyber Security Centrum, de centrale autoriteit die de implementatie begeleidt.
Zodra je weet waar je staat, kun je bepalen hoe snel je moet handelen. Vier weken is krap, maar voor een eerste inventarisatie is het meer dan genoeg.