Op 1 juli 2026 treedt de Cyberbeveiligingswet in werking. Voor veel ondernemers klinkt de naam onbekend, maar de gevolgen kunnen flink zijn, ook als je een klein bedrijf hebt dat er op het eerste gezicht niet onder valt. Het is de Nederlandse invulling van de Europese NIS2-richtlijn, en hij raakt meer bedrijven dan menigeen denkt.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (afgekort: Cbw) is de Nederlandse uitwerking van de Europese NIS2-richtlijn. Die richtlijn verplicht bedrijven in kritieke sectoren hun digitale beveiliging serieus te nemen en incidenten te melden bij de autoriteiten. Denk aan energiebedrijven, ziekenhuizen, drinkwaterbedrijven, banken en grote IT-leveranciers.
De Tweede Kamer stemde eerder dit jaar in met de wet. Wat nog ontbreekt, is goedkeuring van de Eerste Kamer, maar de overheid houdt vast aan 1 juli als invoeringsdatum. Wachten heeft geen zin meer.
Voor welke bedrijven geldt de wet direct?
De wet richt zich direct op zogenaamde essentiële en belangrijke entiteiten. Dat zijn organisaties in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en overheid. De vuistregel: middelgrote of grote bedrijven met minimaal 50 medewerkers of meer dan 10 miljoen euro omzet in een kritieke sector vallen in principe direct onder de Cbw.
Concreet betekent dat vier verplichtingen:
- Zorgplicht: je moet aantoonbaar maatregelen hebben getroffen om cyberrisico's te beperken
- Meldplicht: ernstige incidenten moet je binnen 24 uur melden bij de bevoegde autoriteit
- Registratieplicht: je moet je aanmelden bij de toezichthouder
- Opleidingsplicht: bestuurders moeten aantoonbaar kennis hebben van cybersecurity
De boetes bij niet-naleving lopen op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Dat zijn Europese GDPR-niveaus.
Kleiner bedrijf? Toch geraakt via de keten
Hier wordt het interessant voor ondernemers die dachten dat de Cbw hen niet aanging. Bedrijven die direct onder de wet vallen, zijn verplicht hun volledige toeleveringsketen te beveiligen. Dat wil zeggen: zij gaan eisen stellen aan hun leveranciers en dienstverleners, ook aan jou.
Stel je levert software, IT-diensten, schoonmaakdiensten of catering aan een ziekenhuis of energiebedrijf. Dan mag je verwachten dat je klant binnen nu en enkele maanden vraagt te bewijzen dat jouw cyberbeveiliging op orde is. Lever je die zekerheid niet, dan riskeer je uitgesloten te worden uit de keten. Naar schatting krijgen tussen de 50.000 en 100.000 Nederlandse bedrijven hiermee indirect te maken, aldus het Ondernemersplein van de overheid.
Dat is een heel andere vraag dan je misschien gewend bent. Het gaat niet meer om een vrijblijvend gesprek over wachtwoordbeleid, het wordt een harde eis in contracten.
Wat moet je nu concreet regelen?
Weet je niet waar je moet beginnen, dan helpt het om met vier basisstappen te starten:
- Breng je IT-landschap in kaart. Welke systemen gebruik je? Wat staat er in de cloud, wat staat er op locatie? Wie heeft er toegang?
- Voer een risicobeoordeling uit. Waar liggen de zwakste plekken? Denk aan verouderde software, gedeelde wachtwoorden, onveilige back-upprocessen.
- Stel een incidentresponsplan op. Wat doe je als er toch iets misgaat? Wie bel je als eerste? Hoe informeer je klanten?
- Documenteer alles. Niet omdat bureaucratie leuk is, maar omdat je toezichthouder of klant straks bewijs vraagt.
De KVK heeft een praktische checklist gepubliceerd waarmee je kunt testen hoe ver je al staat. Het duurt een halfuur en geeft je direct concrete aandachtspunten.
Als je momenteel werkt aan een bredere digitale transformatie, lees dan ook eens waarom zoveel MKB-bedrijven AI willen maar er niet mee beginnen. De drempels liggen verrassend dicht bij elkaar.
Beveiliging stopt niet bij software
Een veelgemaakte fout is dat cyberbeveiliging alleen gaat over IT. De Cbw denkt daar anders over. De wet omvat ook de fysieke beveiliging van je systemen en gebouwen, continuïteitsplanning en de bescherming van communicatiekanalen. Wie al heeft nagedacht over de fysieke beveiliging van het bedrijfspand, zit op de goede weg, maar dat is slechts één stuk van de puzzel.
Denk ook aan je medewerkers. Phishing, nep-e-mails die inloggegevens stelen, is nog altijd de meest gebruikte aanvalsvector. Eén klik van één medewerker kan een heel bedrijf platleggen. Bewustwording en training zijn goedkoper dan de nasleep van een incident.
Wat dit voor jou betekent
De wet komt er, al dan niet met kleine vertraging. De kans dat je als ondernemer de komende twaalf maanden geen enkele vraag hierover krijgt van een klant, bank of verzekeraar is klein. Cyberverzekeraars stellen cyberbeveiliging al als voorwaarde voor dekking.
Wacht je te lang, dan loop je het risico klanten te verliezen aan concurrenten die hun zaakjes wel op orde hebben. Begin daarom niet met de grootste maatregelen, maar met het kleinste inzicht: weet wat je hebt, weet wie er bij kan, en zorg dat er iemand verantwoordelijk is. Dat kost geen maanden, dat kost een middag.