Wanneer treedt de Cyberbeveiligingswet in werking?

De verwachte datum is 1 juli 2026. Dit is de Nederlandse implementatie van de Europese NIS2-richtlijn. Na inwerkingtreding moeten organisaties die onder de wet vallen direct kunnen aantonen dat ze aan de eisen voldoen.

Val ik als mkb onder de Cyberbeveiligingswet?

Dat hangt af van twee dingen: je sector en je omvang. Werk je in een sector zoals energie, transport, zorg, digitale infrastructuur of ICT-dienstverlening, en heb je 50+ medewerkers of meer dan 10 miljoen euro omzet? Dan val je waarschijnlijk onder de wet als 'belangrijke entiteit'. Bij 250+ medewerkers of 50 miljoen euro omzet ben je een 'essentiële entiteit'.

Wat als mijn bedrijf niet direct onder de Cyberbeveiligingswet valt?

Ook als je zelf niet in scope bent, kun je indirect geraakt worden. Klanten die wel onder de wet vallen, moeten hun leveranciersketen beveiligen. Ze kunnen contractueel eisen dat jij bepaalde beveiligingsmaatregelen neemt, een incidentmeldingsprocedure hebt, of een risicoanalyse kunt overleggen.

Wat moet ik als eerste regelen voor de Cyberbeveiligingswet?

Begin met drie dingen: een leveranciersinventaris (wie heeft toegang tot je systemen?), een risicoanalyse (waar ben je kwetsbaar?) en een incidentmeldingsprocedure (wat doe je als het misgaat?). Met die drie op orde heb je een stevige basis.

Cyberbeveiligingswet MKB: valt jouw bedrijf eronder?

NIS2, Algemeen

4/28/2026

Op 1 juli 2026 treedt naar verwachting de Cyberbeveiligingswet in werking. De Nederlandse vertaling van de Europese NIS2-richtlijn. Dat is over 65 dagen. En als je dit leest, is de kans groot dat je je afvraagt: geldt die wet ook voor mij?

Het korte antwoord: misschien wel. En ook als dat niet zo is, ga je er waarschijnlijk toch iets van merken. Hieronder leg ik uit hoe dat zit, zonder juridisch jargon.

Wat is de Cyberbeveiligingswet precies?

De Cyberbeveiligingswet is de Nederlandse versie van NIS2, de Europese richtlijn voor netwerk- en informatiebeveiliging. Waar de AVG over persoonsgegevens gaat, gaat de Cyberbeveiligingswet over de beveiliging van je netwerken en informatiesystemen.

De Europese Unie heeft NIS2 vastgesteld. Elk EU-land moet die richtlijn vertalen naar nationale wetgeving. In Nederland wordt dat de Cyberbeveiligingswet. De inhoudelijke eisen zijn grotendeels hetzelfde als NIS2, maar de wet regelt specifiek hoe toezicht en handhaving in Nederland werken.

De verwachte ingangsdatum: 1 juli 2026.

Wie valt er direct onder?

De Cyberbeveiligingswet onderscheidt twee categorieen organisaties: essentiële entiteiten en belangrijke entiteiten. Beide hebben verplichtingen. Het verschil zit in de intensiteit van het toezicht.

Sectoren

De wet geldt voor organisaties in deze sectoren:

Energie (elektriciteit, gas, olie, warmte)
Transport (luchtvaart, spoor, water, weg)
Financiele infrastructuur (bankwezen, marktinfrastructuur)
Gezondheidszorg (ziekenhuizen, labs, farmaceuten)
Drinkwater en afvalwater
Digitale infrastructuur (datacenters, DNS, cloud, telecom)
ICT-dienstverlening (MSP's, MSSP's)
Overheid
Post- en koeriersdiensten
Afvalbeheer
Chemie en productie (voedsel, machines, elektronica, medische apparatuur)
Ruimtevaart en onderzoek

Drempelwaarden

Werk je in een van die sectoren? Dan bepaalt je omvang in welke categorie je valt:

Belangrijke entiteit: 50+ medewerkers OF meer dan 10 miljoen euro jaaromzet
Essentiële entiteit: 250+ medewerkers OF meer dan 50 miljoen euro jaaromzet

Essentiële entiteiten worden proactief gecontroleerd door de toezichthouder. Belangrijke entiteiten worden vooral achteraf gecontroleerd, bijvoorbeeld na een incident of klacht. Maar de eisen zelf zijn voor beide categorieen grotendeels hetzelfde.

De ketenval: waarom ook bedrijven buiten scope geraakt worden

Dit is het punt dat de meeste mkb's missen. Je denkt: ik zit niet in een van die sectoren, of ik heb minder dan 50 medewerkers, dus ik ben veilig.

Niet per se.

De Cyberbeveiligingswet verplicht organisaties die wel in scope vallen om hun leveranciersketen te beveiligen. Concreet: als jij een dienst levert aan een ziekenhuis, energiebedrijf, IT-dienstverlener of andere organisatie die onder de wet valt, dan kan die klant contractueel eisen dat jij:

Een risicoanalyse hebt uitgevoerd
Een incidentmeldingsprocedure hebt
Beveiligingsmaatregelen kunt aantonen
Medewerkers traint op cybersecurity

Je valt dan niet formeel onder de wet, maar de eisen komen via je klanten alsnog op je bord. Dit is geen hypothetisch scenario. Grote organisaties zijn nu al bezig met het doorlichten van hun leveranciersketen. Meer over hoe dit werkt lees je in leveranciersbeheer onder NIS2.

Beslisboom: valt jouw bedrijf onder de Cyberbeveiligingswet?

Loop deze vier vragen door:

1. Werk je in een van de genoemde sectoren? Ja → ga naar vraag 2. Nee → ga naar vraag 4.

2. Heb je 50+ medewerkers OF meer dan 10 miljoen euro jaaromzet? Ja → je bent waarschijnlijk een belangrijke entiteit. Ga naar vraag 3. Nee → je valt niet direct onder de wet, maar ga naar vraag 4.

3. Heb je 250+ medewerkers OF meer dan 50 miljoen euro jaaromzet? Ja → je bent waarschijnlijk een essentiële entiteit. Nee → je blijft een belangrijke entiteit.

4. Lever je producten of diensten aan organisaties die wel onder de wet vallen? Ja → je bent indirect in scope via de leveranciersketen. Bereid je voor op contractuele eisen. Nee → de wet geldt formeel niet voor je, maar de beveiligingsmaatregelen zijn sowieso verstandig.

Wat je moet regelen (of er nu een wet is of niet)

Of je nu direct in scope valt of via de leveranciersketen: de Cyberbeveiligingswet draait om aantoonbare beveiliging. Geen beloftes, maar bewijs.

Dit zijn de vier dingen die je minimaal op orde moet hebben:

1. Leveranciersinventaris

Welke externe partijen hebben toegang tot je systemen of data? Denk aan je hostingpartij, softwareleveranciers, IT-beheerder, cloudtools. Breng ze in kaart, classificeer ze op risico, en controleer of de contracten beveiligingseisen bevatten.

2. Risicoanalyse

Waar ben je kwetsbaar? Welke systemen zijn kritiek voor je bedrijfsvoering? Wat gebeurt er als ze 24 uur platliggen? Zonder risicoanalyse weet je niet waar je moet beginnen met maatregelen.

3. Incidentmeldingsprocedure

De Cyberbeveiligingswet vereist dat je ernstige incidenten binnen 24 uur meldt bij de toezichthouder, gevolgd door een volledig rapport binnen 72 uur. Je hebt dus een draaiboek nodig: wie neemt de leiding, wat zijn de stappen, wie wordt geinformeerd?

4. Gedocumenteerde maatregelen

Alles wat je doet moet je kunnen aantonen. Dat betekent: beleidsdocumenten, registers van leveranciers en verwerkingen, logboeken van maatregelen en trainingen, en versiegeschiedenis die laat zien dat je documenten actueel zijn.

Wil je weten hoe je hier concreet mee begint? Lees dan NIS2 voor het MKB: waar begin je?.

65 dagen: wat kun je nu nog doen?

De tijd is krap, maar je kunt nog een hoop regelen. Focus op de basis:

Week 1-2: Maak een overzicht van je leveranciers en de systemen waar ze toegang toe hebben. Dit is vaak de snelste manier om grip te krijgen op je aanvalsoppervlak.

Week 3-4: Voer een risicoanalyse uit. Inventariseer je kritieke systemen, benoem dreigingen en bepaal de impact.

Week 5-8: Stel een incidentmeldingsprocedure op en leg je beveiligingsmaatregelen vast. Zorg dat je kunt laten zien wat je doet en waarom.

Perfectie is niet het doel. De toezichthouder wil zien dat je bezig bent en kunt aantonen wat je gedaan hebt.

Hoe ComplianceHive je helpt

ComplianceHive brengt je leveranciersbeheer, softwareinventaris, risicoanalyse en documentatie samen op een plek. Geen spreadsheets die verdwijnen in een gedeelde map. Geen losse documenten die niemand meer kan vinden.

Je bouwt een compleet overzicht op van je leveranciers, beoordeelt ze op risico, legt je maatregelen vast en hebt altijd een actueel dossier klaarliggen. Of je nu direct onder de Cyberbeveiligingswet valt of je voorbereidt op eisen vanuit je klanten.

Bekijk wat ComplianceHive kan betekenen voor jouw NIS2-voorbereiding en begin vandaag met de basis.