Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat is de Cyberbeveiligingswet en voor wie geldt die?

17 juni 2026

De Cyberbeveiligingswet is de Nederlandse wet die de Europese NIS2-richtlijn omzet in nationale wetgeving. De wet verplicht organisaties in achttien aangewezen sectoren om aantoonbare maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen. De Cyberbeveiligingswet is op 15 april 2026 aangenomen door de Tweede Kamer en treedt naar verwachting op 1 juli 2026 in werking. In dit artikel beantwoorden we de meest gestelde vragen over de wet: voor wie die geldt, wat de verplichtingen zijn, en hoe je je organisatie voorbereidt.

Voor welke organisaties geldt de Cyberbeveiligingswet?

De Cyberbeveiligingswet geldt voor organisaties die actief zijn in een van de achttien aangewezen sectoren én die voldoen aan de drempelwaarden voor omvang. Concreet betekent dit: middelgrote en grote bedrijven met minimaal vijftig medewerkers of een jaaromzet van meer dan tien miljoen euro. Alle 340-plus Nederlandse gemeenten vallen ook automatisch binnen de scope van de wet.

De achttien sectoren zijn een forse uitbreiding ten opzichte van de zeven sectoren die onder de vorige wetgeving (NIS1 / Wbni) vielen. Nieuw toegevoegde sectoren zijn onder andere afvalwaterbeheer, ruimtevaart, levensmiddelen, post- en koeriersdiensten, digitale aanbieders en de chemische industrie. De sectoren die al onder NIS1 vielen, zoals energie, transport, drinkwater, financiën, gezondheidszorg en digitale infrastructuur, blijven ook onder de nieuwe wet verplicht.

Organisaties worden ingedeeld in twee categorieën: essentiële entiteiten en belangrijke entiteiten. Grote organisaties in de meest kritieke sectoren vallen in de eerste categorie en krijgen proactief toezicht. Dat betekent dat de toezichthouder zelf audits en inspecties kan starten, zonder dat er eerst een incident hoeft te zijn. Belangrijke entiteiten krijgen reactief toezicht: de toezichthouder treedt op als er aanwijzingen zijn van niet-naleving.

Nederland hanteert acht sectorale toezichthouders. De RDI (Rijksinspectie Digitale Infrastructuur) vervult een coördinerende rol. Andere toezichthouders zijn DNB voor de financiële sector, ACM voor energie en telecom, IGJ voor de gezondheidszorg en ILT voor transport en water. Het NCSC fungeert als hoofd-CSIRT voor incidentrespons en advies.

Wat zijn de verplichtingen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet kent drie hoofdverplichtingen: een registratieplicht, een zorgplicht en een meldplicht. Elke verplichting heeft concrete eisen en termijnen. Samen vormen ze de basis voor wat de wet van jouw organisatie verwacht.

Registratieplicht

Je moet je organisatie registreren in het nationale entiteitenregister via mijn.ncsc.nl. De registratie vraagt om contactinformatie, de naam van de verantwoordelijke, een overzicht van je diensten en een lijst van internetdomeinen. Als je de gegevens vooraf verzamelt, duurt de registratie zelf ongeveer tien minuten.

Zorgplicht

De zorgplicht verplicht je om passende, evenredige technische en organisatorische maatregelen te nemen om risico’s te beheersen en de continuïteit van je dienstverlening te waarborgen. Artikel 21 van NIS2 schrijft tien concrete maatregelen voor digitale beveiliging voor, waaronder:

  • Een gedocumenteerde risicoanalyse en een door het bestuur goedgekeurd cybersecuritybeleid
  • Een schriftelijk incidentresponsplan met heldere rolverdeling en regelmatige oefening
  • Vastgelegde back-up- en herstelprocessen met gedocumenteerde RTO en RPO
  • Beoordeling van alle leveranciers op cybersecuritymaatregelen (supply chain security)
  • Multi-Factor Authenticatie (MFA) voor alle externe toegang en beheerdersaccounts
  • Verplichte beveiligingstraining voor alle medewerkers, inclusief bestuurders
  • Een vastgelegd encryptiebeleid voor data-at-rest en data-in-transit

De maatregelen zijn niet één vaste checklist: ze moeten proportioneel zijn aan het risicoprofiel, de sector en de omvang van jouw organisatie.

Meldplicht

Bij een significant beveiligingsincident geldt een getrapte meldstructuur. Binnen 24 uur dien je een vroegtijdige waarschuwing in bij het CSIRT en de toezichthouder. Binnen 72 uur volgt een formele incidentmelding inclusief ernst en gevolgen. Binnen één maand lever je een eindrapport met volledige analyse en genomen maatregelen. Alle meldingen verlopen via mijn.ncsc.nl.


Hi, how are you doing?
Can I ask you something?
Hallo! 👋 Ik zie dat je meer wilt weten over de Cyberbeveiligingswet. Veel MKB-bedrijven vragen zich af of ze onder de wet vallen — en wat ze dan precies moeten doen. Hoe zou jij jouw situatie omschrijven?
Goed startpunt! Om te bepalen of de Cyberbeveiligingswet voor jullie geldt, is het handig om te weten hoe groot jullie organisatie is. Hoeveel medewerkers heeft jullie bedrijf?
Goed dat je hier al mee bezig bent — veel organisaties onderschatten hoe snel de deadline nadert (1 juli 2026, zonder overgangstermijn). Wat is op dit moment de grootste uitdaging voor jullie?
Dat helpt ons al een heel stuk verder! NTNT helpt MKB-bedrijven al meer dan 25 jaar met IT — en begeleidt organisaties nu ook concreet bij de Cyberbeveiligingswet: van nulmeting tot aantoonbare compliance. Laat je gegevens achter, dan neemt een van onze specialisten contact met je op voor een vrijblijvend gesprek.
Bedankt! ✅ Je aanvraag is ontvangen. Ons team bekijkt je gegevens en neemt contact met je op om jouw situatie te bespreken en te kijken hoe we je het beste kunnen helpen. We kijken ernaar uit!

Wat is het verschil tussen de Cyberbeveiligingswet en de NIS2-richtlijn?

De NIS2-richtlijn is Europese wetgeving die alle EU-lidstaten verplicht om dezelfde cybersecuritynormen in te voeren. De Cyberbeveiligingswet is de Nederlandse vertaling van die richtlijn naar nationaal recht. Inhoudelijk zijn de verplichtingen grotendeels gelijk; het verschil zit in de rechtskracht en de uitvoering op nationaal niveau.

De NIS2-richtlijn trad op 16 januari 2023 in werking in de EU, met een implementatiedeadline voor lidstaten van 17 oktober 2024. Nederland haalde die deadline niet en ontving daarvoor een inbreukprocedure van de Europese Commissie. Het wetsvoorstel voor de Cyberbeveiligingswet werd op 4 juni 2025 ingediend bij de Tweede Kamer en op 15 april 2026 aangenomen.

Een belangrijk punt: er is geen overgangstermijn voorzien. Zodra de Cyberbeveiligingswet op 1 juli 2026 in werking treedt, gelden alle verplichtingen direct. Je hebt dus geen extra tijd om te wennen aan de nieuwe regels.

Veel organisaties vergelijken de Cyberbeveiligingswet ook met de AVG/GDPR. De overeenkomsten zijn er: beide zijn Europese wetgeving met zware boetes, vereisen documentatie en aantoonbaarheid, kennen een meldplicht bij incidenten en vereisen risicomanagement. Maar de verschillen zijn wezenlijk. De AVG beschermt persoonsgegevens; de Cyberbeveiligingswet beschermt netwerk- en informatiesystemen. De meldplicht onder de AVG geldt bij datalekken met persoonsgegevens en heeft een termijn van 72 uur; onder de Cyberbeveiligingswet moet je alle significante beveiligingsincidenten melden en begint de eerste melding al binnen 24 uur. Organisaties die al serieus aan de AVG voldoen, hebben een voorsprong, maar de Cyberbeveiligingswet vraagt meer: een bredere meldplicht, striktere supply chain-eisen en expliciete bestuurstraining.

Wat zijn de gevolgen als je niet voldoet aan de Cyberbeveiligingswet?

Als je niet voldoet aan de Cyberbeveiligingswet, riskeer je boetes die kunnen oplopen tot tien miljoen euro of twee procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid, wat kan leiden tot persoonlijke boetes, juridische procedures of reputatieschade.

Dit laatste is een fundamenteel verschil met eerdere wetgeving. Onder NIS1 was persoonlijke aansprakelijkheid van bestuurders nauwelijks aan de orde. Onder de Cyberbeveiligingswet is dat expliciet geregeld. In uiterste gevallen is zelfs tijdelijke schorsing als verantwoordelijke mogelijk. Onwetendheid geldt niet als excuus: bestuurders zijn verplicht aantoonbaar training te hebben gevolgd om cyberrisico’s te kunnen beoordelen, met een uiterste termijn van twee jaar na inwerkingtreding van de wet.

Naast de directe financiële en juridische gevolgen zijn er ook indirecte risico’s. Klanten en opdrachtgevers in aangewezen sectoren zijn verplicht hun leveranciers te screenen op cybersecuritymaatregelen. Als jouw organisatie niet aantoonbaar voldoet, kan dat leiden tot verlies van opdrachten of contractuele eisen waaraan je niet kunt voldoen. Cyberverzekeraars stellen bovendien hogere eisen en kunnen dekking weigeren als de basismaatregelen ontbreken.

Hoe bereid je je organisatie voor op de Cyberbeveiligingswet?

De voorbereiding op de Cyberbeveiligingswet vraagt om een gestructureerde aanpak in drie stappen: bepaal of je binnen scope valt, breng je huidige situatie in kaart en werk gericht aan de ontbrekende maatregelen. Gemiddeld duurt een volledig implementatietraject vier tot zes maanden.

Begin met een nulmeting. Veel organisaties hebben al maatregelen getroffen die voldoen aan de eisen van de wet, maar hebben die niet schriftelijk vastgelegd. Documentatie is onder de Cyberbeveiligingswet geen formaliteit: je moet aantoonbaar kunnen maken dat je maatregelen hebt genomen. Zonder documentatie telt het niet.

Concrete stappen die je kunt zetten:

  1. Controleer of jouw sector en organisatieomvang binnen de scope van de wet vallen
  2. Registreer je organisatie via mijn.ncsc.nl zodra de wet in werking treedt
  3. Stel een risicoanalyse op en laat die goedkeuren door het bestuur
  4. Schrijf een incidentresponsplan met heldere rolverdeling en oefen dit regelmatig
  5. Activeer MFA voor alle externe toegang en beheerdersaccounts
  6. Stel beveiligingseisen aan leveranciers en leg die contractueel vast
  7. Zorg dat alle medewerkers en bestuurders een aantoonbare beveiligingstraining volgen
  8. Documenteer al je bestaande maatregelen in een overzichtelijk evidence pack

Betrek het bestuur actief bij dit proces. Het beveiligingsbeleid moet door de directie zijn goedgekeurd, en de directie moet aantoonbaar betrokken zijn bij incidentrespons en risicobeoordeling. Dit is geen IT-vraagstuk alleen: het is een bestuursvraagstuk.

Geldt de Cyberbeveiligingswet ook voor het MKB?

Ja, de Cyberbeveiligingswet geldt ook voor een deel van het MKB. Middelgrote bedrijven met vijftig of meer medewerkers of een omzet van meer dan tien miljoen euro die actief zijn in een van de achttien aangewezen sectoren, vallen direct onder de wet. Kleinere bedrijven kunnen indirect verplicht zijn via de ketenverantwoordelijkheid van hun klanten.

Voor het MKB zijn er drie situaties te onderscheiden:

  • Direct verplicht: Bedrijven in de achttien sectoren met vijftig-plus medewerkers of meer dan tien miljoen omzet moeten volledig aan de wet voldoen.
  • Indirect verplicht via de keten: Kleinere bedrijven die leveren aan NIS2-plichtige organisaties, krijgen te maken met beveiligingsvragenlijsten, contractuele eisen en mogelijk verplichte certificering. Hun klant is immers verplicht de leveranciersketen te screenen.
  • Marktgedreven verplicht: Cyberverzekeraars stellen hogere eisen en aanbestedingen vragen vaker om bewijs van cybersecuritymaatregelen, ook als er geen wettelijke verplichting is.

De meest voorkomende uitdagingen voor het MKB zijn het ontbreken van een interne IT-afdeling, budgetbeperkingen en onvoldoende bewustzijn bij bestuurders over hun persoonlijke aansprakelijkheid. Veel MKB-bedrijven hebben al goede maatregelen, maar missen de schriftelijke documentatie die de wet vereist. Dat is een relatief eenvoudig te repareren probleem, als je er op tijd mee begint.

Hoe wij helpen met de Cyberbeveiligingswet

Wij zien bij veel MKB-bedrijven hetzelfde patroon: de technische basis is aanwezig, maar de documentatie ontbreekt, het beleid is niet goedgekeurd door het bestuur en de meldprocedures zijn niet geoefend. Precies daar helpen wij je mee.

Wat we concreet voor je doen:

  • We voeren een nulmeting uit om te bepalen of jouw organisatie binnen de scope van de Cyberbeveiligingswet valt
  • We brengen de kloof in kaart tussen jouw huidige situatie en de wettelijke vereisten
  • We implementeren MFA via Cisco Duo voor alle externe toegang en beheerdersaccounts
  • We rollen Security Awareness Training uit via Huntress, inclusief phishing-simulaties en bewustwordingsprogramma’s voor medewerkers en bestuurders
  • We stellen een incidentresponsplan op en oefenen dit met jouw team
  • We helpen je bij het documenteren van bestaande maatregelen in een evidence pack dat klaarstaat voor toezichthouders
  • We adviseren over supply chain security en leveranciersscreening

Wil je weten waar jouw organisatie nu staat? Neem contact op met NTNT voor een vrijblijvende nulmeting. We helpen je concreet en zonder onnodige complexiteit op weg naar aantoonbare compliance.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.