Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Valt mijn bedrijf onder de Cyberbeveiligingswet?

16 juni 2026

Of jouw bedrijf onder de Cyberbeveiligingswet valt, hangt af van de sector waarin je actief bent en de omvang van je organisatie. Bedrijven met 50 of meer medewerkers of een jaaromzet van meer dan 10 miljoen euro die actief zijn in een van de 18 aangewezen sectoren, vallen direct onder de wet. Maar ook kleinere bedrijven kunnen indirect verplichtingen krijgen via hun klanten of leveranciers. In dit artikel beantwoorden we de meest gestelde vragen over de Cyberbeveiligingswet en wat die voor jouw bedrijf betekent.

Welke sectoren en bedrijven vallen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet is van toepassing op organisaties in 18 aangewezen sectoren die actief zijn in Nederland. Dit zijn sectoren die als belangrijk worden beschouwd voor de maatschappij en economie, zoals energie, transport, financiën, gezondheidszorg, drinkwater, digitale infrastructuur en overheid. Ten opzichte van de oude NIS1-richtlijn is het aantal aangewezen sectoren uitgebreid van 7 naar 18.

Concreet gaat het onder andere om:

  • Energie (elektriciteit, gas, olie, warmte, waterstof)
  • Transport (luchtvaart, spoorwegen, scheepvaart, wegvervoer)
  • Bankwezen en financiële marktinfrastructuur
  • Gezondheidszorg en farmaceutische industrie
  • Drinkwater en afvalwater
  • Digitale infrastructuur en ICT-dienstverlening
  • Overheidsdiensten, waaronder alle 340+ Nederlandse gemeenten
  • Ruimtevaart, post- en koeriersdiensten, chemische industrie en voedselproductie

Binnen deze sectoren wordt verder onderscheid gemaakt tussen essentiële entiteiten (grote organisaties in kritieke sectoren) en belangrijke entiteiten (middelgrote organisaties of organisaties in minder kritieke sectoren). Voor beide categorieën gelden vergelijkbare verplichtingen, maar de toezichtintensiteit en boeteplafonds verschillen.

Wat zijn de drempelwaarden voor omvang en omzet?

De Cyberbeveiligingswet hanteert twee drempelwaarden om te bepalen of een bedrijf in scope valt: 50 of meer medewerkers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Voldoe je aan een van beide criteria én ben je actief in een van de 18 aangewezen sectoren, dan val je in principe onder de wet.

Microondernemingen en kleine bedrijven (minder dan 50 medewerkers en minder dan 10 miljoen omzet) zijn in principe vrijgesteld, tenzij ze een bijzonder kritieke rol spelen in hun sector. De wetgever heeft hiervoor een uitzondering opgenomen voor organisaties die ondanks hun kleine omvang een grote maatschappelijke impact kunnen hebben bij uitval.

Voor MKB-bedrijven betekent dit in de praktijk het volgende:

  • Groep 1 (direct verplicht): Bedrijven in de 18 sectoren met 50+ medewerkers of meer dan 10 miljoen omzet moeten volledig aan de wet voldoen.
  • Groep 2 (indirect verplicht via ketenverantwoordelijkheid): Formeel niet NIS2-plichtig, maar hun klanten zijn dat wel en moeten leveranciers screenen.
  • Groep 3 (marktgedreven): Cyberverzekeraars en aanbestedingen stellen steeds vaker eisen aan cybersecuritymaatregelen, ook zonder wettelijke verplichting.

Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je meer wilt weten over de Cyberbeveiligingswet. Veel MKB-bedrijven vragen zich af of ze in scope vallen — en wat ze dan moeten doen. Hoe zou jij jouw situatie omschrijven?
Goed dat je dit uitzoekt — veel bedrijven wachten hier te lang mee. De Cyberbeveiligingswet treedt naar verwachting in werking op 1 juli 2026, zonder overgangsperiode. Compliance kost gemiddeld vier tot zes maanden. Hoe urgent is dit voor jou?
Duidelijk. NTNT helpt MKB-bedrijven met een scope-analyse, gap-analyse en technische implementatie — zodat je weet waar je staat én wat je moet doen. Wie is bij jullie verantwoordelijk voor IT en compliance?
Goed. Op basis van wat je hebt aangegeven kan NTNT je helpen snel duidelijkheid te krijgen over jouw verplichtingen onder de Cyberbeveiligingswet. Laat je gegevens achter en een van onze specialisten neemt contact met je op voor een vrijblijvend gesprek.
Bedankt! Je aanvraag is ontvangen. Ons team bekijkt jouw situatie en neemt contact met je op om te bespreken wat de Cyberbeveiligingswet voor jouw bedrijf betekent en welke stappen je kunt zetten. We kijken ernaar uit om je te helpen.

Wat als mijn leverancier of klant wel onder de wet valt?

Als jouw klant of opdrachtgever onder de Cyberbeveiligingswet valt, heeft dat directe gevolgen voor jou als leverancier. De wet verplicht organisaties namelijk om hun hele toeleveringsketen te beoordelen op cybersecuritymaatregelen. Dit betekent dat jouw klant verplicht is om jou als leverancier te screenen, ook als jij zelf niet NIS2-plichtig bent.

In de praktijk zie je dit terug in de vorm van:

  • Beveiligingsvragenlijsten die je moet invullen
  • Contractuele eisen rondom informatiebeveiliging
  • Verzoeken om bewijs van genomen maatregelen, zoals een certificering of auditrapport
  • In sommige gevallen een verplichting tot externe certificering (zoals ISO 27001)

Dit geldt ook andersom: als jij de NIS2-plichtige partij bent, ben jij verantwoordelijk voor het screenen van je eigen leveranciers. Je moet contractueel vastleggen welke beveiligingseisen je aan hen stelt en die eisen jaarlijks controleren bij kritieke leveranciers. De wet noemt dit supply chain security en beschouwt het als een van de tien verplichte zorgplichtmaatregelen.

Voor veel MKB-bedrijven is dit de meest directe reden om aan de slag te gaan met cybersecurity voor jouw organisatie, ook als ze zelf niet formeel onder de wet vallen. Klanten in aangewezen sectoren zullen steeds vaker eisen dat leveranciers kunnen aantonen dat ze hun beveiliging op orde hebben.

Welke verplichtingen gelden er als je onder de wet valt?

Als jouw organisatie onder de Cyberbeveiligingswet valt, gelden er drie hoofdverplichtingen: een registratieplicht, een zorgplicht en een meldplicht. Daarnaast zijn bestuurders persoonlijk verantwoordelijk voor de naleving en moeten zij aantoonbaar getraind zijn in het beoordelen van cyberrisico’s.

Registratieplicht

Je bent verplicht je organisatie te registreren in het nationale entiteitenregister via mijn.ncsc.nl. Je geeft daarbij je contactinformatie op, de naam van de verantwoordelijke, een overzicht van je diensten en een lijst van internetdomeinen. De registratie zelf neemt ongeveer 10 minuten in beslag als je de gegevens vooraf bij de hand hebt.

Zorgplicht

Je moet passende technische en organisatorische maatregelen nemen om cyberrisico’s te beheersen. De wet schrijft tien concrete maatregelen voor op basis van artikel 21, waaronder:

  • Een gedocumenteerde risicoanalyse en een goedgekeurd cybersecuritybeleid
  • Een schriftelijk incident response plan
  • Vastgelegde back-up- en herstelprocessen met offline back-ups
  • Beoordeling van leveranciers op beveiligingsmaatregelen
  • Multi-Factor Authenticatie (MFA) voor alle externe toegang
  • Verplichte beveiligingstraining voor alle medewerkers, inclusief bestuurders
  • Een vastgelegd encryptiebeleid voor data in rust en transit

De maatregelen moeten proportioneel zijn aan het risicoprofiel, de sector en de omvang van je organisatie. Er is geen vaste checklist: je moet aantoonbaar maken dat je een weloverwogen keuze hebt gemaakt op basis van een eigen risicoanalyse.

Meldplicht

Bij een significant incident geldt een getrapte meldstructuur. Binnen 24 uur stuur je een vroegtijdige waarschuwing naar het CSIRT en de toezichthouder. Binnen 72 uur volgt een formele incidentmelding met informatie over de ernst en gevolgen. Binnen één maand dien je een eindrapport in met een volledige analyse en de genomen maatregelen. Alle meldingen verlopen via mijn.ncsc.nl.

Wat zijn de gevolgen als je niet voldoet aan de Cyberbeveiligingswet?

Als je niet voldoet aan de Cyberbeveiligingswet, riskeer je zowel financiële boetes als niet-financiële sancties. Voor essentiële entiteiten loopt de maximale boete op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Het hoogste bedrag telt.

Naast financiële boetes zijn ook niet-financiële sancties mogelijk, zoals:

  • Een tijdelijk verbod op specifieke activiteiten
  • Verplichte audits op kosten van de organisatie
  • Aanwijzingen om specifieke maatregelen te treffen
  • Openbare bekendmaking van de overtreding, wat reputatieschade kan veroorzaken
  • In extreme gevallen: tijdelijke schorsing van een bestuurder

Een belangrijk verschil met de AVG is dat bij de Cyberbeveiligingswet ook de individuele bestuurder persoonlijk aansprakelijk kan worden gesteld bij grove nalatigheid. Onwetendheid is geen excuus. Bestuurders zijn verplicht aantoonbaar training te hebben gevolgd om cyberrisico’s te kunnen beoordelen, met een uiterste termijn van twee jaar na inwerkingtreding van de wet.

Factoren die meewegen bij de hoogte van een boete zijn onder andere de ernst van de overtreding, de mate van nalatigheid, eerdere overtredingen en de samenwerking met de toezichthouder. Proactief genomen stappen, zoals het behalen van een ISO 27001-certificering, kunnen als verzachtende omstandigheid worden meegewogen.

Hoe bepaal je stap voor stap of jouw bedrijf in scope valt?

Je kunt in drie stappen bepalen of jouw bedrijf direct onder de Cyberbeveiligingswet valt. Begin met de sector, controleer daarna de omvang en kijk ten slotte of er aanvullende redenen zijn om toch maatregelen te nemen, ook als je formeel buiten scope valt.

  1. Stap 1: Controleer je sector. Ben je actief in een van de 18 aangewezen sectoren? Denk aan energie, transport, gezondheidszorg, financiën, digitale infrastructuur of overheid. Als je sector niet op de lijst staat, val je formeel niet onder de wet.
  2. Stap 2: Controleer je omvang. Heeft je organisatie 50 of meer medewerkers, of een jaaromzet en balanstotaal van meer dan 10 miljoen euro? Als je aan een van beide criteria voldoet én actief bent in een aangewezen sector, val je in scope.
  3. Stap 3: Beoordeel indirecte verplichtingen. Lever je diensten aan organisaties die wel NIS2-plichtig zijn? Dan is de kans groot dat je via ketenverantwoordelijkheid toch beveiligingseisen krijgt opgelegd. Controleer ook of je cyberverzekering of aanbestedingen aanvullende eisen stellen.

Een veelgemaakte fout is dat bestuurders denken dat ze buiten scope vallen omdat ze een klein bedrijf runnen. Maar zelfs als je formeel niet verplicht bent, kunnen klanten, verzekeraars en aanbestedende diensten je alsnog vragen om bewijs van je beveiligingsmaatregelen. Bovendien ontbreekt bij veel MKB-bedrijven de schriftelijke documentatie van maatregelen die feitelijk al bestaan, terwijl juist die documentatie nodig is om aan te tonen dat je aan de eisen voldoet.

Wanneer treedt de Cyberbeveiligingswet in werking in Nederland?

De Cyberbeveiligingswet treedt naar verwachting in werking op 1 juli 2026. Het wetsvoorstel is op 15 april 2026 aangenomen door de Tweede Kamer. Er is geen overgangstermijn voorzien: zodra de wet ingaat, gelden alle verplichtingen direct.

De achtergrond: de Europese NIS2-richtlijn werd op 16 januari 2023 van kracht, met een implementatiedeadline voor EU-lidstaten van 17 oktober 2024. Nederland heeft die deadline niet gehaald en ontving daarop een inbreukprocedure van de Europese Commissie. De Cyberbeveiligingswet vervangt bij inwerkingtreding de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) uit 2018.

Omdat er geen overgangsperiode is, is het verstandig om nu al te beginnen met de voorbereiding. Compliance kost gemiddeld vier tot zes maanden en vraagt een aanzienlijke investering in tijd en middelen. Organisaties die al serieus aan de AVG voldoen, hebben een voorsprong, maar de Cyberbeveiligingswet vraagt meer: een bredere meldplicht, striktere eisen aan de toeleveringsketen, expliciete bestuurstraining en actievere directiebetrokkenheid.

Hoe wij helpen met de Cyberbeveiligingswet

Veel MKB-bedrijven weten niet precies waar ze staan als het gaat om de Cyberbeveiligingswet. Dat is begrijpelijk: de wet is complex, de verplichtingen zijn breed en de tijdsdruk is hoog. Wij helpen je om snel duidelijkheid te krijgen en concreet aan de slag te gaan.

Wat we voor je doen:

  • Scope-analyse: We bepalen samen of jouw organisatie direct of indirect onder de Cyberbeveiligingswet valt en welke verplichtingen voor jou gelden.
  • Gap-analyse en risicoanalyse: We brengen in kaart welke maatregelen je al hebt genomen en wat er nog ontbreekt, inclusief de schriftelijke documentatie die toezichthouders verwachten.
  • Technische implementatie: Van MFA via Cisco Duo en endpoint protection via Huntress tot awareness-trainingen via Phished en veilig wachtwoordbeheer via Keeper. We implementeren de tools die aansluiten bij de tien zorgplichtmaatregelen.
  • Begeleiding van bestuurders: We ondersteunen directies bij het begrijpen van hun persoonlijke aansprakelijkheid en helpen bij het opzetten van de vereiste bestuurstraining.
  • Doorlopend beheer: Via onze Managed IT-diensten monitoren en onderhouden we jouw beveiligingsmaatregelen proactief, zodat je ook na inwerkingtreding compliant blijft.

Wil je weten of jouw bedrijf onder de Cyberbeveiligingswet valt en wat je nu al moet regelen? Neem contact op met NTNT voor een vrijblijvend gesprek.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.