Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wanneer gaat de Cyberbeveiligingswet in?

25 juni 2026

De Cyberbeveiligingswet is in Nederland nog niet officieel in werking getreden. De wet is de Nederlandse implementatie van de Europese NIS2-richtlijn en ligt momenteel ter behandeling in de Tweede Kamer. De verwachting is dat de wet in de loop van 2026 wordt aangenomen en van kracht wordt. Bedrijven die onder de wet vallen, doen er verstandig aan zich nu al voor te bereiden. In dit artikel beantwoorden we de belangrijkste vragen over de Cyberbeveiligingswet, van wie eronder valt tot hoe je je organisatie voorbereidt.

Welke bedrijven vallen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet geldt voor organisaties in 18 aangewezen sectoren die voldoen aan bepaalde omvangsdrempels: minimaal 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro. Denk aan sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur en financiële dienstverlening. Kleine bedrijven buiten deze sectoren vallen formeel niet onder de wet, maar kunnen er indirect wel mee te maken krijgen.

Voor het MKB is het nuttig om drie groepen te onderscheiden. De eerste groep is direct verplicht: bedrijven in de 18 aangewezen sectoren die aan de omvangsdrempels voldoen, moeten volledig aan de wet voldoen. De tweede groep is indirect verplicht via ketenverantwoordelijkheid. Deze bedrijven zijn zelf niet NIS2-plichtig, maar leveren diensten aan organisaties die dat wel zijn. Die klanten zijn verplicht hun leveranciers te screenen, wat in de praktijk neerkomt op beveiligingsvragenlijsten, contractuele eisen en soms verplichte certificering. De derde groep wordt gedreven door marktdruk: cyberverzekeraars en cybersecurity maatregelen stellen hogere eisen en aanbestedingen vragen vaker om bewijs van cybersecuritymaatregelen, ook zonder directe wettelijke verplichting.

Twijfel je of jouw organisatie onder de wet valt? Via de zelfevaluatietool op zelfevaluatie.rdi.nl kun je snel je positie bepalen.

Wat verandert er ten opzichte van de oude NIS-wetgeving?

De Cyberbeveiligingswet vervangt de oude Wet beveiliging netwerk- en informatiesystemen (Wbni), die de eerste NIS-richtlijn implementeerde. Ten opzichte van die wet zijn de reikwijdte, de verplichtingen en de handhaving aanzienlijk uitgebreid. Meer sectoren vallen nu onder de wetgeving, de eisen zijn concreter, en bestuurders kunnen voortaan persoonlijk aansprakelijk worden gesteld.

Concreet zijn de voornaamste veranderingen:

  • Het aantal aangewezen sectoren is uitgebreid van 7 naar 18.
  • Er is een expliciet onderscheid tussen essentiële entiteiten (grote organisaties in kritieke sectoren) en belangrijke entiteiten (middelgrote organisaties), met verschillende toezichtvormen.
  • De meldplicht bij incidenten is strenger: een eerste melding moet binnen 24 uur plaatsvinden in plaats van 72 uur.
  • Bestuurders zijn verplicht aantoonbaar training te volgen over cyberrisico’s.
  • Supply chain-beveiliging is een expliciete verplichting geworden.
  • De boetes zijn fors verhoogd en kunnen ook op individuele bestuurders worden verhaald.

Organisaties die al serieus aan de AVG/GDPR voldoen, hebben een voorsprong. Toch vraagt de Cyberbeveiligingswet meer: een bredere meldplicht, striktere eisen aan de leveranciersketen, expliciete bestuurstraining en actievere directiebetrokkenheid bij risicobeoordeling en incidentrespons.


Hi, how are you doing?
Can I ask you something?
Hallo! 👋 Ik zie dat je meer wilt weten over de Cyberbeveiligingswet. Veel MKB-bedrijven worstelen op dit moment met dezelfde vraag: vallen wij eronder, en wat moeten we dan doen? Wat beschrijft jouw situatie het beste?
Goed om te weten! De wet geldt voor organisaties in 18 aangewezen sectoren met minimaal 50 medewerkers of meer dan €10 miljoen jaaromzet — maar ook kleinere bedrijven kunnen indirect verplicht worden via hun klanten. Hoe groot is jouw organisatie ongeveer?
Duidelijk! Veel MKB-bedrijven die wij begeleiden starten met een NIS2-zelfevaluatie en gap-analyse — zo weet je precies waar je staat en wat er nog moet gebeuren. Wat past het beste bij jouw situatie op dit moment?
Super! Laat je gegevens achter en een van onze specialisten neemt contact met je op om samen te kijken waar jouw organisatie staat en hoe we je praktisch kunnen helpen.
Bedankt! ✅ Je gegevens zijn ontvangen. Ons team bekijkt je aanvraag en neemt contact met je op om jouw NIS2-situatie te bespreken. We kijken ernaar uit je te helpen!

Welke verplichtingen legt de Cyberbeveiligingswet op?

De Cyberbeveiligingswet kent drie hoofdverplichtingen: een registratieplicht, een zorgplicht en een meldplicht. Samen vormen deze het fundament van wat de wet van organisaties verwacht op het gebied van digitale beveiliging.

Registratieplicht

Organisaties die onder de wet vallen, moeten zich registreren in het nationale entiteitenregister via mijn.ncsc.nl. Je geeft daarbij contactinformatie op, de naam van de verantwoordelijke, een overzicht van diensten en een lijst van internetdomeinen. De registratie zelf duurt circa 10 minuten als je de gegevens vooraf verzamelt.

Zorgplicht

Organisaties moeten passende, evenredige technische en organisatorische maatregelen nemen om risico’s te beheersen, incidenten te voorkomen en de continuïteit van dienstverlening te waarborgen. Er is geen vaste checklist: de maatregelen moeten proportioneel zijn aan het risicoprofiel, de sector en de omvang van de organisatie. Denk aan encryptiebeleid, Multi-Factor Authenticatie (MFA) voor alle externe toegang en beheerdersaccounts, netwerksegmentatie, back-uptests en gedocumenteerd toegangsbeheer.

Meldplicht

Bij een significant incident geldt een getrapte meldstructuur. Binnen 24 uur moet een vroegtijdige waarschuwing worden ingediend bij het CSIRT en de toezichthouder. Binnen 72 uur volgt een formele incidentmelding inclusief ernst en gevolgen. Binnen één maand lever je een eindrapport in met een volledige analyse en de genomen maatregelen. Alle meldingen verlopen via mijn.ncsc.nl.

Naast deze drie hoofdverplichtingen brengt de wet ook een bestuurdersverantwoordelijkheid met zich mee. Het beveiligingsbeleid moet door het bestuur zijn goedgekeurd, en bestuurders moeten aantoonbaar betrokken zijn bij incidentrespons en risicobeoordeling. Onwetendheid is geen excuus: bij grove nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Wat zijn de boetes bij niet-naleving van de Cyberbeveiligingswet?

De boetes onder de Cyberbeveiligingswet zijn vergelijkbaar met die van de AVG/GDPR, een bewuste keuze om de wet serieus te laten worden genomen. Voor essentiële entiteiten kan de boete oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Een belangrijk verschil met de AVG is dat bij de Cyberbeveiligingswet niet alleen de organisatie beboet kan worden, maar ook de individuele bestuurder persoonlijk aansprakelijk kan zijn. Dit kan leiden tot persoonlijke boetes, juridische procedures of reputatieschade. In uiterste gevallen is tijdelijke schorsing als verantwoordelijke mogelijk.

Naast financiële boetes beschikken toezichthouders ook over andere handhavingsinstrumenten, zoals het opleggen van bindende aanwijzingen, het verplichten van audits of het openbaar maken van overtredingen. Voor organisaties die klanten bedienen in kritieke sectoren kan reputatieschade daarbij even zwaar wegen als de boete zelf.

Hoe bereid je een bedrijf voor op de Cyberbeveiligingswet?

Een goede voorbereiding op de Cyberbeveiligingswet verloopt in vijf fasen, van het bepalen van je positie tot het opbouwen van aantoonbare compliance. Het implementatietraject vraagt gemiddeld vier tot zes maanden en een gerichte investering, maar je kunt direct starten met concrete stappen.

  1. Fase 1 (week 1 en 2): Bepaal je positie. Voer de NIS2-zelfevaluatie uit via zelfevaluatie.rdi.nl, controleer je sector en omvang, inventariseer leveranciers met toegang tot jouw systemen en identificeer NIS2-plichtige klanten in je klantenportefeuille.
  2. Fase 2 (week 3 en 4): Gap-analyse. Breng in kaart welke van de vereiste maatregelen al aanwezig zijn, wat er ontbreekt en wat quick wins zijn versus langetermijninvesteringen.
  3. Fase 3 (maand 2 en 3): Kernprocessen inrichten. Stel een incidentresponsplan op, activeer MFA op alle systemen (niet alleen VPN), implementeer netwerksegmentatie, test je back-ups en train medewerkers en bestuurders.
  4. Fase 4 (maand 3 en 4): Documentatie en leveranciersbeheer. Stel beleidsdocumenten op, maak een leverancierslijst met risicoanalyses, leg contractuele afspraken vast en bereid je voor op registratie bij het NCSC.
  5. Fase 5 (doorlopend): Aantoonbaarheid en continue verbetering. Bouw een evidence pack op, voer jaarlijks een penetratietest uit, zorg voor tamper-proof logging en voer een jaarlijkse review uit van je beveiligingsbeleid.

Een veelgemaakte fout is dat organisaties maatregelen al hebben getroffen, maar deze niet schriftelijk hebben vastgelegd. Documentatie is geen bureaucratie, maar bewijs. Zonder aantoonbaarheid telt een maatregel niet mee bij een audit of incident.

Wat is de rol van de toezichthouder bij de Cyberbeveiligingswet?

Nederland hanteert een gedistribueerd toezichtmodel met acht sectorale toezichthouders. De Rijksinspectie Digitale Infrastructuur (RDI) vervult een coördinerende rol. Andere toezichthouders zijn onder meer De Nederlandsche Bank (DNB) voor de financiële sector, de Autoriteit Consument en Markt (ACM) voor energie en telecom, en de Inspectie Gezondheidszorg en Jeugd (IGJ) voor de gezondheidszorg. Het NCSC fungeert als hoofd-CSIRT voor incidentrespons en advies.

Er is een belangrijk onderscheid in hoe toezicht wordt gehouden. Essentiële entiteiten ontvangen proactief toezicht: de toezichthouder start zelf audits, inspecties en scans, zonder dat daar een aanleiding voor hoeft te zijn. Belangrijke entiteiten ontvangen reactief toezicht: de toezichthouder grijpt alleen in als er aanwijzingen zijn van een overtreding of incident.

Dit betekent dat grote organisaties in kritieke sectoren structureel te maken krijgen met toezichtsactiviteiten, terwijl middelgrote organisaties pas in beeld komen als er iets misgaat. Dat laatste is echter geen reden om minder aandacht te besteden aan compliance: bij een incident of klacht is de toezichthouder bevoegd om diepgaand onderzoek te doen en sancties op te leggen.

Hoe wij helpen met de Cyberbeveiligingswet

De Cyberbeveiligingswet vraagt om concrete actie, en dat is precies waar wij je bij helpen. Of je nu wilt weten of jouw organisatie onder de wet valt of al midden in het implementatietraject zit, wij bieden praktische ondersteuning op maat voor het MKB.

  • NIS2-zelfevaluatie en gap-analyse: We brengen samen in kaart wat al goed is geregeld en wat er nog ontbreekt.
  • Technische maatregelen: Van MFA via Cisco Duo tot encryptie, netwerksegmentatie en endpoint protection via Huntress, we implementeren de maatregelen die de wet vereist.
  • Documentatie en beleid: We helpen je bij het opstellen van de benodigde beleidsdocumenten, risicoanalyses en leveranciersafspraken.
  • Security Awareness Training: Via Huntress en Phished trainen we jouw medewerkers en bestuurders op herkenbare, praktische manieren.
  • Registratie en meldprocedures: We begeleiden je bij de registratie bij het NCSC en zorgen dat je meldprocedures op orde zijn voor als het nodig is.

Wil je weten waar jouw organisatie nu staat? Neem contact op met NTNT voor een vrijblijvend gesprek over jouw NIS2-readiness.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.