Wat betekent dit voor uw bedrijf?

De Cyberbeveiligingswet, de Nederlandse uitvoering van de Europese NIS2-richtlijn, treedt naar verwachting op 1 juli 2026 in werking

Nieuws | MKB

Cyberbeveiligingswet door de Tweede Kamer

Waarom deze wet?

Cyberaanvallen worden steeds vaker gericht op MKB-bedrijven, ook als ingangspunt om grotere organisaties te bereiken. De Europese NIS2-richtlijn is bedoeld om de digitale weerbaarheid van Europa te versterken. In Nederland wordt dit de Cyberbeveiligingswet, die vanaf 1 juli 2026 van kracht is.

Het doel is duidelijk: organisaties die essentiële diensten leveren, zoals in de zorg, energie of digitale infrastructuur, moeten beter beschermd zijn tegen cyberdreigingen. Maar ook als uw bedrijf niet direct onder de wet valt, kunt u er indirect mee te maken krijgen. Grote klanten, zoals ziekenhuizen of energiebedrijven, zullen namelijk steeds vaker eisen stellen aan uw digitale beveiliging. Voldoet u niet aan deze eisen? Dan loopt u het risico opdrachten mis te lopen of zelfs aansprakelijk te worden gesteld als uw beveiliging tekortschiet.

Wat moet u doen?

De Cyberbeveiligingswet introduceert een aantal verplichtingen die ook voor MKB-bedrijven relevant zijn:

Zorgplicht
U moet aantonen dat u alles doet om cyberrisico’s te beperken. Dat betekent dat u structureel moet werken aan uw digitale veiligheid. Denk aan risicoanalyses, het trainen van medewerkers, het up-to-date houden van systemen en het invoeren van multi-factor authenticatie (MFA). Deze maatregelen hoeven niet ingewikkeld te zijn, maar ze moeten wel op orde zijn.

Meldplicht
Bij een ernstig cyberincident moet u dit binnen 24 uur melden bij het Nationaal Cyber Security Centrum (NCSC). Daarnaast moet u zich registreren in het entiteitenregister als u onder de wet valt. Dit helpt om snel in te grijpen en grotere schade te voorkomen.

Ketenverantwoordelijkheid
Grote opdrachtgevers zullen steeds vaker om bewijs van uw cybersecurity vragen. Zij zijn verplicht om hun hele keten veilig te houden. Als u niet kunt aantonen dat uw digitale beveiliging op orde is, kunt u opdrachten mislopen of aansprakelijk worden gesteld.

Wat als u geen maatregelen treft?

Niet voldoen aan de Cyberbeveiligingswet kan leiden tot boetes tot 10 miljoen euro of 2% van uw wereldwijde jaaromzet, afhankelijk van wat hoger is. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld bij grove nalatigheid. Dat betekent dat niet alleen uw bedrijf, maar ook uzelf als eigenaar of directeur financieel en juridisch risico loopt.
Maar er is ook een positieve kant: wie (al heeft ge-)investeert in cybersecurity, plukt daar de vruchten van. Bedrijven die aantoonbaar veilig zijn, hebben een concurrentievoordeel. Ze worden vaker geselecteerd door grote opdrachtgevers en lopen minder risico op kostbare datalekken of downtime.

Wat kunt u nu al doen?

U hoeft niet meteen een volledig cybersecurity-team in huis te halen. Met een paar gerichte stappen kunt u al veel bereiken:

  • Voer een risicoanalyse (0-meting) uit om te bepalen welke systemen en data het meest kritiek zijn voor uw bedrijf.
  • Zorg voor basisbeveiliging, zoals MFA, encryptie, regelmatige back-ups en updates.
  • Train uw medewerkers in cybersecurity awareness. De meeste cyberaanvallen beginnen bijvoorbeeld met een phishing-mail, bewuste medewerkers zijn uw beste verdediging.
  • Check uw contracten en bij welke organisaties u levert of inkoopt. Leveranciers en klanten gaan steeds vaker eisen stellen aan uw beveiliging.
  • Meld u aan voor het entiteitenregister als u onder de wet valt. Zodra de wet in werking treedt, moet u zich registreren bij het NCSC.

Twijfelt u of de wet voor u geldt? Gebruik de NIS2-Zelfevaluatietool van de Rijksoverheid of neem contact op met MKB Cyber Campus. Veel MKB’ers onderschatten hoe snel ze indirect met de wet te maken krijgen, bijvoorbeeld omdat een belangrijke klant ineens om een cybersecurity-audit vraagt.

De tijd om te wachten is voorbij!

De Cyberbeveiligingswet komt eraan, en wachten is geen optie. Of u nu direct onder de wet valt of niet, cybersecurity wordt een vereiste om zaken te doen. Wie nu al begint, voorkomt niet alleen boetes en reputatieschade, maar versterkt ook zijn positie in de markt.

Wilt u weten waar u staat of waar u moet beginnen? MKB Cyber Campus biedt een gratis 0-meting en advies op maat.

Neem contact met ons op en zet vandaag nog de eerste stap naar een veilig en toekomstbestendig bedrijf!

Voor wie geldt de wet?

  1. Energie (bijv. elektriciteits-, gas- en olieproductie en -distributie)
  2. Transport (bijv. luchtvaart, spoorwegen, scheepvaart en wegvervoer)
  3. Bankwezen en financiële marktinfrastructuur (bijv. banken, verzekeraars en beurshandelsplatforms)
  4. Gezondheidszorg (bijv. ziekenhuizen, apotheken en laboratoria)
  5. Drinkwater (bijv. waterleidingbedrijven en waterzuiveringsinstallaties)
  6. Digitale infrastructuur (bijv. internetproviders, datacenters en cloud-dienstverleners)
  7. Openbare elektronische communicatienetwerken en -diensten (bijv. telecomaanbieders en internetproviders)
  8. Overheidsorganisaties (bijv. ministeries, gemeenten en andere overheidsinstanties)
  9. Ruimtevaart
  10. Afvalwaterbeheer
  11. Digitale dienstverleners (bijv. online marktplaatsen, zoekmachines en sociale netwerken)
  12. Post- en koeriersdiensten
  13. Chemische industrie (bijv. productie en distributie van chemicaliën)
  14. Voedselproductie en -distributie (bijv. grote voedselproducenten en distributiecentra)
  15. Fabrikanten van medische hulpmiddelen
  16. Digitale providers (bijv. aanbieders van domeinnaamregistratie en DNS-diensten)
  17. Onderzoeksinstellingen (bijv. universiteiten en onderzoekscentra die kritieke infrastructuur beheren)
  18. Fabrikanten van elektronische apparatuur (bijv. apparaten voor industriële automatisering en controle)

Voor wie geldt de wet?

  • Essentiële entiteiten: Grote organisaties (meestal 250+ medewerkers of €50M+ omzet) in bovenstaande sectoren vallen altijd onder de wet, ongeacht hun omvang.
  • Belangrijke entiteiten: Middelgrote organisaties (50+ medewerkers of €10M+ omzet) in deze sectoren vallen ook onder de wet.
  • Kleinere organisaties (minder dan 50 medewerkers) kunnen indirect te maken krijgen met de wet, bijvoorbeeld als toeleverancier van een organisatie die wel onder de wet valt. Grote klanten zullen steeds vaker eisen stellen aan uw cybersecurity, zelfs als u niet direct verplicht bent

Overig nieuws

Wat is social engineering?

08 april 2026

MKB Cyber Campus Nieuwsbrief Maart

02 maart 2026

Inloggen is het nieuwe inbreken

27 februari 2026

Contact

Directrice MKB Cyber Campus ondersteunt uw organisatie voor een betere digitale weerbaarheid Nienke Hoeksma Directeur MKB Cyber Campus 06-83 64 84 64
MKB Cyber Campus Directeur Erik Miedema werkt aan digitale veiligheid Erik Miedema Directeur MKB Cyber Campus 06 - 22 37 26 35
Digitaal weerbaar nieuws Nieuws

Zoeken