Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Wat houdt de zorgplicht van de Cyberbeveiligingswet in?

11 juni 2026

De zorgplicht van de Cyberbeveiligingswet verplicht organisaties in aangewezen sectoren om passende technische en organisatorische maatregelen te nemen om hun netwerk- en informatiesystemen te beveiligen. Deze verplichting geldt niet alleen voor de eigen systemen, maar ook voor de beveiliging van de keten rondom die systemen. Hieronder beantwoorden we de meest gestelde vragen over wat de zorgplicht concreet betekent voor jouw organisatie.

Voor welke organisaties geldt de zorgplicht van de Cyberbeveiligingswet?

De zorgplicht van de Cyberbeveiligingswet geldt voor organisaties die actief zijn in een van de 18 aangewezen sectoren en die voldoen aan bepaalde omvangsdrempels. Concreet gaat het om middelgrote en grote organisaties met 50 of meer medewerkers, of met een jaaromzet van meer dan 10 miljoen euro. Naar schatting vallen 8.000 tot 10.000 Nederlandse organisaties direct onder de wet.

De Cyberbeveiligingswet (CBW) is de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet is op 15 april 2026 aangenomen door de Tweede Kamer en treedt naar verwachting in werking op 1 juli 2026. Zodra de wet ingaat, gelden alle verplichtingen direct. Er is geen overgangstermijn.

De sectoren die onder de wet vallen, zijn aanzienlijk uitgebreid ten opzichte van de vorige wetgeving. Voorbeelden zijn energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, financiële dienstverlening en overheidsinstanties. Alle 340+ Nederlandse gemeenten zijn verplicht te voldoen. Naast directe verplichtingen heeft de wet ook een indirecte werking: organisaties die onder de CBW vallen, moeten beveiligingseisen stellen aan hun leveranciers. Daardoor kunnen ook kleinere bedrijven buiten de directe scope te maken krijgen met NIS2-gerelateerde eisen vanuit hun klanten.

Organisaties worden ingedeeld als essentiële entiteit of belangrijke entiteit. Dit onderscheid bepaalt de intensiteit van het toezicht, maar niet de inhoud van de zorgplicht zelf. Beide categorieën moeten dezelfde beveiligingsmaatregelen treffen.

Welke concrete maatregelen vereist de zorgplicht?

De zorgplicht van de Cyberbeveiligingswet verplicht organisaties tot een breed pakket aan technische en organisatorische beveiligingsmaatregelen, gebaseerd op artikel 21 van de NIS2-richtlijn. De maatregelen zijn niet vrijblijvend en moeten aantoonbaar zijn geïmplementeerd en gedocumenteerd.

De verplichte maatregelen omvatten onder meer:

  • Risicobeheer en beleid: Een gedocumenteerd informatiebeveiligingsbeleid, regelmatige risicoanalyses en een vastgesteld proces voor het beheren van beveiligingsrisico’s.
  • Incidentbeheer: Procedures voor het detecteren, melden en afhandelen van beveiligingsincidenten, inclusief een meldproces richting de toezichthouder.
  • Bedrijfscontinuïteit: Back-upbeheer, disaster recovery-plannen en een vastgesteld continuïteitsplan dat periodiek wordt getest.
  • Supply chain-beveiliging: Inventarisatie en risicoindeling van alle leveranciers, contractuele beveiligingseisen en periodieke controles op naleving.
  • Toegangsbeheer: Multi-Factor Authenticatie (MFA) voor alle externe toegang en beheerdersaccounts, toepassing van het least-privilege principe en een geformaliseerd proces voor het beheren van gebruikersaccounts bij in- en uitdiensttreding.
  • Encryptie: Een vastgelegd encryptiebeleid, versleuteling van harde schijven, laptops, back-ups en USB-media, en gedocumenteerd sleutelbeheer.
  • Bewustzijnstraining: Aantoonbare cybersecuritytraining voor medewerkers en verplichte training voor bestuurders.
  • Kwetsbaarheidsbeheer: Patchmanagement, penetratietesten en monitoring via systemen zoals EDR en SIEM-logging.

Belangrijk is dat de wet een risicogebaseerde aanpak hanteert. De maatregelen moeten proportioneel zijn aan de omvang van de organisatie, de aard van de activiteiten en de risico’s die daarmee gepaard gaan. Er is geen vaste lijst die voor iedereen identiek is, maar de bovenstaande onderdelen vormen de kern van wat toezichthouders verwachten.


Hi, how are you doing?
Can I ask you something?
Hoi! Ik zie dat je meer wilt weten over de zorgplicht van de Cyberbeveiligingswet. Veel MKB-organisaties worstelen op dit moment met exact dezelfde vraag: waar beginnen we? Wat omschrijft jouw situatie het beste?
Goed dat je dit serieus oppakt — veel organisaties onderschatten hoe breed de zorgplicht is. Wie is bij jullie eindverantwoordelijk voor de naleving van de CBW?
Dat is een verstandig moment om te verkennen. De Cyberbeveiligingswet treedt naar verwachting in werking op 1 juli 2026 — zonder overgangstermijn. Wat is voor jullie op dit moment de grootste vraag?
Op basis van wat je hebt aangegeven kan NTNT je helpen met een vrijblijvende inventarisatie — zodat je precies weet waar jullie organisatie nu staat ten opzichte van de CBW-verplichtingen. Laat je gegevens achter en we nemen contact met je op.
Bedankt! Jouw gegevens zijn ontvangen. Ons team bekijkt jouw aanvraag en neemt contact met je op om de situatie van jullie organisatie verder te bespreken. We kijken ernaar uit je te helpen.
Wil je alvast meer lezen? Op onze website vind je meer informatie over hoe NTNT MKB-organisaties helpt bij de CBW-zorgplicht — van risicoanalyse en technische maatregelen tot documentatie en het opbouwen van een volledig evidence pack.

Hoe verschilt de zorgplicht van de Cyberbeveiligingswet van de NIS2-richtlijn?

De zorgplicht van de Cyberbeveiligingswet en de NIS2-richtlijn zijn inhoudelijk nagenoeg identiek. De Cyberbeveiligingswet is de Nederlandse vertaling van NIS2 in nationale wetgeving. Het verschil zit niet in de inhoud van de verplichtingen, maar in de juridische vorm, de handhaving en de specifieke nationale invulling.

NIS2 is een Europese richtlijn die lidstaten verplicht om nationale wetgeving op te stellen. Die nationale wetgeving, in Nederland de Cyberbeveiligingswet, bepaalt hoe de richtlijn concreet wordt gehandhaafd, welke toezichthouders bevoegd zijn en hoe boetes worden opgelegd. In Nederland werkt de CBW met een gedistribueerd toezichtmodel met acht sectorale toezichthouders, waaronder de RDI, DNB, ACM en IGJ.

Een ander praktisch verschil is dat de CBW aansluit op bestaande Nederlandse wetgeving. De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) uit 2018. Organisaties die al vertrouwd zijn met de Wbni merken dat de CBW de lat aanzienlijk hoger legt: een bredere scope, striktere eisen voor de keten, expliciete bestuurdersaansprakelijkheid en een kortere meldtermijn bij incidenten.

Voor de dagelijkse praktijk maakt het onderscheid tussen NIS2 en de CBW weinig verschil. Als jouw organisatie aan de zorgplicht van de Cyberbeveiligingswet voldoet, voldoe je daarmee ook aan de NIS2-verplichtingen die op Nederland van toepassing zijn.

Wie is verantwoordelijk voor de naleving van de zorgplicht binnen een organisatie?

De eindverantwoordelijkheid voor de naleving van de zorgplicht van de Cyberbeveiligingswet ligt bij het bestuur van de organisatie. Bestuurders zijn niet alleen collectief verantwoordelijk als organisatie, maar kunnen ook persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. Dit is een van de belangrijkste veranderingen ten opzichte van de vorige wetgeving.

Concreet betekent dit dat bestuurders moeten aantonen dat zij actief betrokken zijn bij het cybersecuritybeleid van de organisatie. De CBW verplicht bestuurders om een cybersecuritytraining te volgen, zodat zij de risico’s begrijpen en in staat zijn om weloverwogen beslissingen te nemen over beveiligingsinvesteringen en -maatregelen.

In de praktijk delegeren veel organisaties de uitvoering aan een IT-manager, CISO of externe IT-dienstverlener. Dat is toegestaan en ook verstandig, maar het ontslaat het bestuur niet van zijn verantwoordelijkheid. Het bestuur moet aantoonbaar toezicht houden, de juiste middelen beschikbaar stellen en betrokken zijn bij significante beslissingen over informatiebeveiliging.

Voor MKB-organisaties zonder een interne IT-afdeling betekent dit dat de directeur of eigenaar zelf de eindverantwoordelijkheid draagt. Het inschakelen van een externe partij voor het beheer van de beveiligingsmaatregelen is een gangbare en effectieve aanpak, mits de afspraken contractueel zijn vastgelegd en de directie op de hoogte blijft van de beveiligingsstatus.

Wat zijn de gevolgen van niet voldoen aan de zorgplicht?

Organisaties die niet voldoen aan de zorgplicht van de Cyberbeveiligingswet riskeren boetes die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast kunnen individuele bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid.

De handhaving verloopt via de sectorale toezichthouders. Essentiële entiteiten krijgen te maken met proactief toezicht: de toezichthouder kan zelf audits starten, inspecties uitvoeren en scans laten uitvoeren, ook zonder dat er een incident heeft plaatsgevonden. Belangrijke entiteiten krijgen reactief toezicht, waarbij de toezichthouder pas in actie komt als er aanwijzingen zijn van niet-naleving of na een gemeld incident.

Naast financiële sancties zijn er ook operationele gevolgen. Toezichthouders kunnen corrigerende maatregelen opleggen, tijdelijke beperkingen instellen op bepaalde activiteiten, of in uiterste gevallen de uitoefening van leidinggevende functies tijdelijk verbieden. Voor organisaties die afhankelijk zijn van vergunningen of aanbestedingen kan niet-naleving ook indirect leiden tot reputatieschade en verlies van zakelijke kansen.

Het is nuttig om de vergelijking te maken met de AVG: net zoals de introductie van de AVG in 2018 de omgang met persoonsgegevens fundamenteel veranderde, is de CBW ontworpen om cybersecurity structureel op de agenda te zetten. De boetes zijn vergelijkbaar van omvang, en dat is bewust zo gekozen.

Hoe kan een organisatie aantonen dat zij aan de zorgplicht voldoet?

Een organisatie toont naleving van de zorgplicht aan door een gedocumenteerd en aantoonbaar beveiligingsprogramma op te bouwen, ook wel een evidence pack genoemd. Dit is een verzameling van beleidsdocumenten, risicoanalyses, trainingsregisters, testresultaten en auditlogs die samen bewijzen dat de organisatie de vereiste maatregelen heeft getroffen en onderhoudt.

Concrete onderdelen van zo’n evidence pack zijn:

  • Een actueel informatiebeveiligingsbeleid, goedgekeurd door het bestuur
  • Gedocumenteerde risicoanalyses met bijbehorende maatregelenplannen
  • Contracten met leveranciers waarin beveiligingseisen zijn vastgelegd
  • Trainingsregisters van medewerkers en bestuurders, inclusief quizscores
  • Logs van patching, toegangsbeheer en monitoring
  • Testresultaten van penetratietesten en back-upherstelscenario’s
  • Incidentregisters en meldbewijzen richting de toezichthouder
  • Auditlogs met integriteitsverificatie (tamper-proof)

De documentatie moet niet alleen bestaan, maar ook actueel zijn. Toezichthouders kijken niet alleen of een beleid ooit is opgesteld, maar of het actief wordt nageleefd en periodiek wordt herzien. Een jaarlijkse review van het beveiligingsbeleid en regelmatige tests van continuïteitsplannen zijn daarbij belangrijk.

Organisaties die willen laten zien dat zij ook als leverancier voldoen aan beveiligingseisen, kunnen het NIS2 Supply Chain-keurmerk (SC-keurmerk) aanvragen. Dit keurmerk heeft geen officiële wettelijke status, maar biedt een sterk concurrentievoordeel en wordt steeds vaker gevraagd in aanbestedingen.

Wanneer moet een organisatie een incident melden onder de zorgplicht?

Onder de zorgplicht van de Cyberbeveiligingswet moet een organisatie een significant beveiligingsincident binnen 24 uur na ontdekking melden bij de bevoegde toezichthouder. Dit is een vroege waarschuwing. Binnen 72 uur volgt een uitgebreidere melding, en binnen een maand een eindrapportage met de volledige analyse en getroffen maatregelen.

Een incident is significant als het een ernstige verstoring van de dienstverlening veroorzaakt of kan veroorzaken, of als het een aanzienlijk financieel verlies of reputatieschade tot gevolg heeft. De organisatie zelf beoordeelt in eerste instantie of een incident meldplichtig is, maar bij twijfel is het verstandig om te melden. Niet melden terwijl dat wel had gemoeten, telt zwaarder mee bij handhaving dan een melding die achteraf niet nodig bleek.

Het verschil met de AVG is hier relevant. Onder de AVG geldt een meldplicht van 72 uur, maar alleen bij datalekken met persoonsgegevens. Onder de CBW geldt een kortere eerste termijn van 24 uur, en de meldplicht is breder: alle significante beveiligingsincidenten vallen eronder, niet alleen die waarbij persoonsgegevens betrokken zijn.

Praktisch betekent dit dat je als organisatie een intern meldproces moet hebben ingericht voordat een incident plaatsvindt. Wie beslist of een incident significant is? Wie neemt contact op met de toezichthouder? Hoe worden de meldingen gedocumenteerd? Het antwoord op deze vragen moet vooraf zijn vastgelegd, zodat je in een crisissituatie snel en correct kunt handelen.

Hoe wij helpen met de zorgplicht van de Cyberbeveiligingswet

De zorgplicht van de Cyberbeveiligingswet vraagt om een breed en aantoonbaar beveiligingsprogramma. Dat is voor veel organisaties een flinke opgave, zeker als er geen grote interne IT-afdeling is. Wij helpen MKB-organisaties om aan de CBW-verplichtingen te voldoen op een manier die werkbaar en begrijpelijk is.

Wat wij concreet voor je doen:

  • Risicoanalyse en beleidsopstelling: We brengen de beveiligingsrisico’s in jouw organisatie in kaart en helpen bij het opstellen van een gedocumenteerd informatiebeveiligingsbeleid.
  • Technische maatregelen: Van MFA-implementatie via Cisco Duo en wachtwoordbeheer via Keeper tot endpoint-beveiliging via Huntress en SIEM-logging, we zorgen dat de technische basis op orde is.
  • Security Awareness Training: Via ons SAT-programma met Huntress trainen we jouw medewerkers op herkenbare en praktische cybersecurityscenario’s. De trainingsregisters zijn direct bruikbaar als onderdeel van jouw NIS2 evidence pack.
  • Leveranciersmanagement: We helpen bij het in kaart brengen van de toeleveringsketen en het contractueel vastleggen van beveiligingseisen.
  • Documentatie en evidence pack: We zorgen dat alle maatregelen aantoonbaar zijn gedocumenteerd, zodat je bij een audit of incident kunt laten zien dat je aan de zorgplicht voldoet.

Wil je weten waar jouw organisatie nu staat ten opzichte van de CBW-verplichtingen? Neem contact op met NTNT voor een vrijblijvende inventarisatie.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.