Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Geldt de Cyberbeveiligingswet ook voor het MKB?

19 juni 2026

De Cyberbeveiligingswet geldt niet automatisch voor elk MKB-bedrijf, maar meer bedrijven dan verwacht vallen toch binnen de scope. De wet, die de Europese NIS2-richtlijn in Nederland implementeert, richt zich op organisaties in achttien aangewezen sectoren die voldoen aan bepaalde omvangsdrempels. Bovendien geldt voor veel kleine leveranciers een indirecte verplichting via hun klanten. In dit artikel beantwoorden we de meest gestelde vragen over de Cyberbeveiligingswet en wat die voor jouw bedrijf betekent.

Voor welke bedrijven geldt de Cyberbeveiligingswet?

De Cyberbeveiligingswet geldt voor middelgrote en grote organisaties in achttien aangewezen sectoren, zoals energie, transport, gezondheidszorg, financiën en digitale infrastructuur. Een bedrijf valt binnen de scope als het vijftig of meer medewerkers heeft, of een jaaromzet van meer dan tien miljoen euro, én actief is in een van die sectoren.

De stap van NIS1 naar NIS2 is groot. Waar de eerste wet nog slechts circa duizend organisaties in Nederland betrof, trekt de Cyberbeveiligingswet de scope open naar naar schatting acht- tot tienduizend organisaties. Het aantal aangewezen sectoren groeide van zeven naar achttien. Alle 340-plus Nederlandse gemeenten vallen verplicht onder de wet.

IT-dienstverleners worden expliciet benoemd onder de categorie “ICT-dienstenbeheer (B2B)” als aangewezen sector. Een managed services provider, cloudleverancier of softwaredienstverlener met vijftig of meer medewerkers valt dus direct onder de wet. Maar ook kleinere IT-dienstverleners kunnen binnen de scope vallen als zij de enige kritieke dienst leveren aan een NIS2-plichtige organisatie, of als een klant hen aanmerkt als kritieke leverancier.

Weet je niet zeker of jouw organisatie onder de Cyberbeveiligingswet valt? De Rijksdienst voor Digitale Infrastructuur biedt een zelfevaluatietool via zelfevaluatie.rdi.nl waarmee je snel kunt checken of jouw sector en omvang relevant zijn.

Wat zijn de verplichtingen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet kent drie hoofdverplichtingen: een registratieplicht, een zorgplicht en een meldplicht. Organisaties moeten zich registreren, passende beveiligingsmaatregelen nemen en significante incidenten tijdig melden. Daarnaast brengt de wet een expliciete verantwoordelijkheid voor bestuurders met zich mee.

Registratieplicht

Organisaties die onder de wet vallen, moeten zich registreren in het nationale entiteitenregister via mijn.ncsc.nl. Je hebt daarvoor contactinformatie, de naam van de verantwoordelijke, een overzicht van diensten en een lijst van internetdomeinen nodig. De registratie zelf duurt circa tien minuten als je de gegevens vooraf verzamelt.

Zorgplicht

De zorgplicht verplicht je passende, evenredige technische en organisatorische maatregelen te nemen. Denk aan multi-factor authenticatie voor alle externe toegang, encryptiebeleid, netwerksegmentatie, toegangsbeheer op basis van het least-privilege principe en een gedocumenteerd incidentresponsplan. Er is geen vaste checklist: de maatregelen moeten proportioneel zijn aan het risicoprofiel, de sector en de omvang van jouw organisatie.

Meldplicht

Bij een significant incident geldt een getrapte meldstructuur. Binnen 24 uur moet je een vroegtijdige waarschuwing indienen bij het CSIRT en de toezichthouder. Binnen 72 uur volgt een formele incidentmelding met informatie over de ernst en gevolgen. Binnen één maand dien je een eindrapport in met een volledige analyse en de genomen maatregelen. Alle meldingen verlopen via mijn.ncsc.nl.

Bestuurdersverantwoordelijkheid

De Cyberbeveiligingswet brengt cybersecurity expliciet naar de boardroom. Bestuurders zijn verplicht aantoonbaar training te hebben gevolgd om cyberrisico’s te kunnen beoordelen, met een uiterste termijn van twee jaar na inwerkingtreding. Het beveiligingsbeleid moet door het bestuur zijn goedgekeurd, en de directie moet aantoonbaar betrokken zijn bij incidentrespons en risicobeoordeling. Bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Onwetendheid is geen excuus.


Hi, how are you doing?
Can I ask you something?
Hallo! 👋 Ik zie dat je meer wilt weten over de Cyberbeveiligingswet en wat die voor het MKB betekent. Veel ondernemers vragen zich af of — en hoe — deze wet op hun bedrijf van toepassing is. Hoe zou jij jouw situatie omschrijven?
Goed dat je dit uitzoekt — veel MKB-bedrijven ontdekken dat ze tóch binnen de scope vallen, of indirect verplichtingen krijgen via hun klanten. Hoeveel medewerkers heeft jouw bedrijf?
Helder! Op basis van wat je hebt aangegeven kan NTNT je concreet helpen — van het bepalen of je onder de wet valt tot het implementeren van de juiste maatregelen. Dat doen we altijd op maat, passend bij jouw sector en risicoprofiel. Wil je dat iemand van ons team even met je meekijkt?
Top! Laat je gegevens achter en een van onze specialisten neemt contact met je op voor een vrijblijvend gesprek over wat de Cyberbeveiligingswet concreet betekent voor jouw bedrijf.
Bedankt! 🎉 Je gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om samen te kijken wat de Cyberbeveiligingswet voor jouw bedrijf betekent en welke stappen zinvol zijn.
Met meer dan 25 jaar ervaring in IT voor het MKB staan we klaar om je praktisch en zonder onnodig jargon te helpen. Tot snel!

Geldt de Cyberbeveiligingswet indirect ook voor kleine leveranciers?

Ja, de Cyberbeveiligingswet heeft een duidelijke indirecte werking voor kleine leveranciers. Organisaties die direct onder de wet vallen, zijn verplicht hun leveranciers te inventariseren, te classificeren op risico en cybersecurityeisen contractueel vast te leggen. Dit betekent dat jij als kleine leverancier steeds vaker beveiligingsvragenlijsten en contractuele eisen ontvangt, ook als je zelf niet direct NIS2-plichtig bent.

De achtergrond hiervan is concreet: aanvallen op grote IT-platforms zoals SolarWinds en Kaseya toonden aan dat één gecompromitteerde leverancier duizenden organisaties tegelijk kan treffen. De Cyberbeveiligingswet is mede ontworpen om dit soort domino-aanvallen te voorkomen. De acht- tot tienduizend NIS2-plichtige organisaties stellen eisen aan hun toeleveranciers, waardoor naar schatting vijftig- tot honderdduizend extra MKB-bedrijven indirecte verplichtingen krijgen.

Voor leveranciers die niet zelf NIS2-plichtig zijn, bestaat een marktcertificering: het NIS2 Supply Chain-keurmerk. Dit keurmerk kent drie niveaus, van een basisniveau voor MKB met een beperkt risicoprofiel tot een hoogste niveau met externe toetsing voor kritieke ketenpartners. Het keurmerk heeft geen officiële wettelijke status, maar biedt een sterk concurrentievoordeel en wordt steeds vaker gevraagd in aanbestedingen.

Wat zijn de sancties bij niet-naleving van de Cyberbeveiligingswet?

De sancties bij niet-naleving van de Cyberbeveiligingswet zijn fors. Organisaties die als “essentiële entiteit” zijn aangemerkt, riskeren een boete van maximaal tien miljoen euro of twee procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag telt. Voor “belangrijke entiteiten” geldt een maximum van zeven miljoen euro of 1,4 procent van de wereldwijde jaaromzet.

Naast financiële boetes zijn ook niet-financiële sancties mogelijk, zoals een tijdelijk verbod op specifieke activiteiten, verplichte audits, aanwijzingen om bepaalde maatregelen te treffen en openbare bekendmaking van de overtreding. In extreme gevallen kan een bestuurder tijdelijk worden geschorst. Dit is een wezenlijk verschil met de AVG: bij de AVG is de organisatie primair aansprakelijk, terwijl bij de Cyberbeveiligingswet ook de individuele bestuurder persoonlijk beboet kan worden.

De hoogte van een boete hangt af van meerdere factoren: de ernst van de overtreding, het aantal getroffen personen of systemen, de mate van nalatigheid, eerdere overtredingen en de mate van samenwerking met de toezichthouder. Proactief genomen stappen, zoals een ISO 27001-certificering, kunnen als verzachtende omstandigheid worden meegewogen.

Hoe bereid je een MKB-bedrijf voor op de Cyberbeveiligingswet?

Een MKB-bedrijf bereidt zich voor op de Cyberbeveiligingswet door eerst te bepalen of het direct of indirect binnen de scope valt, vervolgens een risicoanalyse uit te voeren en daarna gerichte maatregelen te treffen. De wet trad op 1 juli 2026 in werking zonder overgangstermijn, dus alle verplichtingen gelden direct.

Een praktisch stappenplan ziet er als volgt uit:

  1. Bepaal je status: Gebruik de zelfevaluatietool van de RDI om te controleren of jouw organisatie direct onder de wet valt.
  2. Breng je leveranciersketen in kaart: Inventariseer alle leveranciers en classificeer ze op risico. Leg cybersecurityeisen contractueel vast.
  3. Voer een risicoanalyse uit: Identificeer de grootste risico’s voor jouw netwerk- en informatiesystemen en stel prioriteiten.
  4. Implementeer technische maatregelen: Zorg voor MFA op alle externe toegang, encryptie van gevoelige data, netwerksegmentatie en een gedocumenteerd toegangsbeheer.
  5. Stel een incidentresponsplan op: Documenteer hoe je bij een incident handelt, wie je meldt en binnen welke termijnen.
  6. Train je bestuur en medewerkers: Bestuurders moeten aantoonbaar getraind zijn in het beoordelen van cyberrisico’s. Medewerkers hebben bewustwordingstraining nodig.
  7. Registreer je organisatie: Als je direct onder de wet valt, registreer je via mijn.ncsc.nl.

Organisaties die al serieus aan de AVG voldoen, hebben een voorsprong, maar de Cyberbeveiligingswet vraagt meer: een bredere meldplicht met een termijn van 24 uur in plaats van 72 uur, striktere supply chain-eisen en actievere directiebetrokkenheid.

Welke cybersecuritymaatregelen zijn sowieso verstandig voor het MKB?

Ongeacht of jouw bedrijf direct onder de Cyberbeveiligingswet valt, zijn er basismaatregelen die elk MKB-bedrijf zou moeten treffen. Deze maatregelen verlagen het risico op een succesvolle aanval, beperken de schade bij een incident en maken jouw bedrijf betrouwbaarder als leverancier voor klanten die wel NIS2-plichtig zijn.

De belangrijkste maatregelen voor digitale beveiliging op een rij:

  • Multi-factor authenticatie (MFA): Verplicht voor alle externe toegang, beheerdersaccounts en kritieke systemen. MFA is één van de meest effectieve maatregelen tegen accountovername.
  • Sterke wachtwoorden via een wachtwoordmanager: Een wachtwoordmanager zoals Keeper zorgt ervoor dat medewerkers unieke, sterke wachtwoorden gebruiken zonder ze te hoeven onthouden.
  • Endpoint beveiliging: Installeer endpoint detection and response (EDR) software op alle apparaten om dreigingen snel te detecteren en te stoppen.
  • Regelmatige back-ups: Maak geregeld back-ups en sla ze versleuteld op, ook op een locatie die losstaat van je primaire systemen.
  • Patchbeheer: Houd besturingssystemen en software up-to-date. Veel aanvallen maken gebruik van bekende kwetsbaarheden waarvoor al patches beschikbaar zijn.
  • Security awareness training: Medewerkers zijn vaak het doelwit van phishing en social engineering. Regelmatige, laagdrempelige training helpt hen dreigingen te herkennen.
  • Toegangsbeheer op basis van least privilege: Geef medewerkers alleen toegang tot de systemen en data die ze nodig hebben voor hun werk.

Deze maatregelen vormen geen garantie, maar ze verhogen de drempel voor aanvallers aanzienlijk en laten zien dat jouw organisatie cybersecurity serieus neemt. Dat is relevant voor klanten, partners en toezichthouders.

Hoe wij helpen met de Cyberbeveiligingswet

Bij NTNT helpen we MKB-bedrijven concreet om aan de verplichtingen van de Cyberbeveiligingswet te voldoen en hun digitale weerbaarheid te versterken. We doen dat niet met een standaardpakket, maar met een aanpak die past bij jouw organisatie, sector en risicoprofiel.

Wat we voor je kunnen doen:

  • Scopebepaling en risicoanalyse: We helpen je bepalen of jouw organisatie direct of indirect onder de Cyberbeveiligingswet valt en brengen de grootste risico’s in kaart.
  • Technische maatregelen: We implementeren MFA via Cisco Duo, endpoint beveiliging via Huntress en wachtwoordbeheer via Keeper, afgestemd op jouw omgeving.
  • Security awareness training: Via Huntress bieden we korte, toegankelijke trainingen aan om medewerkers weerbaar te maken tegen phishing en andere dreigingen.
  • Documentatie en beleid: We helpen je de benodigde beleidsdocumenten op te stellen, van toegangsbeheer tot incidentresponsplan, zodat je aantoonbaar voldoet aan de zorgplicht.
  • Leveranciersmanagement: We ondersteunen je bij het inventariseren en classificeren van leveranciers en het contractueel vastleggen van cybersecurityeisen.
  • Bestuurstraining: We verzorgen bewustwordingssessies voor directie en management, zodat bestuurders aantoonbaar getraind zijn zoals de wet vereist.

Wil je weten wat de Cyberbeveiligingswet concreet betekent voor jouw bedrijf? Neem contact met ons op voor een vrijblijvend gesprek en we kijken samen wat er nodig is.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.