Op 1 juli 2026 treedt de Nederlandse Cyberbeveiligingswet in werking, de nationale implementatie van de Europese NIS2-richtlijn. De wet verplicht organisaties in kritieke sectoren tot een aantoonbaar niveau van cyberbeveiliging, met registratieplicht, meldplicht bij incidenten en een bestuurlijke zorgplicht. Maar ook MKB-bedrijven die zelf niet direct onder de wet vallen, krijgen ermee te maken. Lees wat u moet weten.
Na jaren van voorbereiding en vertraging wordt de Cyberbeveiligingswet naar verwachting op 1 juli 2026 van kracht in Nederland. De wet is de nationale vertaling van de Europese NIS2-richtlijn, die de lat voor cyberbeveiliging binnen de EU significant hoger legt. Waar de oorspronkelijke NIS-richtlijn uit 2016 een beperkte scope had, is NIS2 aanzienlijk breder van opzet.
De kern van de wet is eenvoudig samen te vatten: organisaties in kritieke en belangrijke sectoren moeten kunnen aantonen dat ze hun digitale weerbaarheid serieus nemen. Dat ze weten welke risico's ze lopen, dat ze passende maatregelen hebben getroffen en dat ze incidenten tijdig melden. Wie dat niet kan aantonen, riskeert boetes en aansprakelijkheid op bestuursniveau.
De Cyberbeveiligingswet maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties in sectoren zoals energie, transport, water, financiën, gezondheidszorg, digitale infrastructuur en overheidsdiensten. Belangrijke entiteiten zijn middelgrote organisaties in dezelfde en aanverwante sectoren, aangevuld met onder andere post- en koeriersdiensten, afvalbeheer, chemie en de voedingsindustrie.
De drempel voor directe toepasselijkheid ligt bij organisaties met minimaal vijftig medewerkers of een jaaromzet van meer dan tien miljoen euro, actief in de genoemde sectoren. Kleinere organisaties vallen in principe buiten de directe scope, maar dat betekent niet dat ze de wet kunnen negeren.
De Cyberbeveiligingswet introduceert een ketenverantwoordelijkheid. Organisaties die direct onder de wet vallen, zijn verplicht de cyberbeveiliging van hun toeleveranciers en dienstverleners te beoordelen en te borgen. Dat betekent dat een groot ziekenhuis, een energiebedrijf of een overheidsinstantie voortaan hogere eisen zal stellen aan de IT-leveranciers, softwareleveranciers en andere partners in hun keten, ongeacht de grootte van die partners.
Voor MKB-bedrijven die leveren aan sectoren die onder NIS2 vallen, is de praktische boodschap duidelijk: verwacht dat uw opdrachtgevers u vragen naar uw beveiligingsmaatregelen, uw incidentprocedures en uw patchbeleid. Wie daar geen goed antwoord op heeft, loopt het risico als leverancier te worden uitgesloten of vervangen door een partij die dat wel kan aantonen.
De wet kent drie hoofdverplichtingen voor organisaties in scope. De eerste is de registratieplicht: organisaties moeten zich inschrijven in een entiteitenregister dat wordt bijgehouden door de bevoegde toezichthouder. De tweede is de meldplicht: significante incidenten moeten binnen 24 uur worden gemeld bij het Computer Security Incident Response Team en de toezichthoudende autoriteit. Een significante incident is een incident dat de beschikbaarheid, integriteit of vertrouwelijkheid van netwerk- en informatiesystemen ernstig verstoort. De derde is de zorgplicht: organisaties moeten passende en evenredige technische en organisatorische maatregelen treffen op basis van een risicoanalyse.
De zorgplicht is geen vrijblijvende richtlijn maar een afdwingbare verplichting. Het NCSC beschrijft tien minimale maatregelen die deel uitmaken van de zorgplicht: het uitvoeren van een risicoanalyse en het opstellen van een informatiebeveiligingsbeleid, een plan voor bedrijfscontinuïteit en herstel na incidenten, toegangsbeheer en autorisatiebeheer, het gebruik van multifactorauthenticatie, beveiliging van de toeleveringsketen, het gebruik van encryptie voor gevoelige gegevens, bewustzijns- en veiligheidstraining voor medewerkers, het actueel houden van systemen via patch- en updatebeheer, procedures voor het melden en afhandelen van incidenten, en het beveiligen van de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen.
Voor veel MKB-bedrijven zullen de meeste van deze maatregelen herkenbaar zijn als basishygiëne. De verandering zit hem er in dat ze nu aantoonbaar moeten zijn. Documentatie, beleid en bewijs van uitvoering worden dus niet minder belangrijk, maar juist centraler.
De Cyberbeveiligingswet kent forse handhavingsbevoegdheden. Voor essentiële entiteiten kunnen de maximale boetes oplopen tot 10 miljoen euro of twee procent van de wereldwijde jaaromzet. Voor belangrijke entiteiten zijn de maxima 7 miljoen euro of 1,4 procent van de omzet. Daarnaast introduceert de wet persoonlijke aansprakelijkheid voor bestuurders die aantoonbaar nalatig zijn geweest in hun toezichthoudende rol op cyberbeveiliging.
Dit laatste element is nieuw en heeft grote impact op de boardroom-dynamiek. Cybersecurity is met de Cyberbeveiligingswet geen technisch onderwerp meer dat aan de IT-afdeling kan worden gedelegeerd. Het is een bestuursverantwoordelijkheid geworden.
Het NCSC adviseert organisaties uitdrukkelijk niet te wachten op de inwerkingtreding van de wet. De risico's bestaan nu al, en wie nu begint, heeft meer tijd om maatregelen zorgvuldig in te richten in plaats van ze onder tijdsdruk door te voeren.
Een praktische eerste stap is het uitvoeren van een gap-analyse: waar staat uw organisatie op dit moment ten opzichte van de tien zorgplichtmaatregelen, en wat ontbreekt er nog? Vervolgens stelt u een prioriteitenlijst op en begint u met de maatregelen die de grootste risicoreductie bieden.
Zarioh helpt MKB-bedrijven bij het in kaart brengen van hun beveiligingspositie in het licht van de Cyberbeveiligingswet en bij het treffen van de maatregelen die nodig zijn om zowel de wet als de eisen van opdrachtgevers aan te kunnen. Neem contact met ons op voor een vrijblijvend gesprek over uw situatie.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
