Need immediate help?

De Cyberbeveiligingswet komt eraan: val jij eronder?

March 6, 2026

De Cyberbeveiligingswet (de Nederlandse uitvoering van NIS2) staat voor de deur. Het wetsvoorstel ligt bij de Tweede Kamer en de regering streeft naar inwerkingtreding in Q2 2026. Organisaties met 50+ medewerkers in sectoren als zorg, logistiek, productie en digitale dienstverlening krijgen te maken met een zorgplicht, meldplicht en registratieplicht. Bestuurders worden persoonlijk verantwoordelijk. Wachten tot de wet ingaat is geen optie; je kunt nu al beginnen.

“De wet is toch uitgesteld? Dan hebben we nog wel even tijd.” Veel IT-managers en bestuurders denken dat ze nog tijd hebben. Dat is begrijpelijk, want de Cyberbeveiligingswet is meerdere keren verschoven. Maar het wetsvoorstel ligt inmiddels bij de Tweede Kamer en de regering streeft naar inwerkingtreding in Q2 2026. Dat is over een paar maanden. In deze blog legt Peter Pronk uit wat de wet betekent voor jouw organisatie en hoe je kunt bepalen of je eronder valt.

Van uitstel naar afstel? Integendeel

Vorig jaar schreven we al over NIS2 en wat het betekent voor het mkb. Destijds was de verwachting dat de wet in het derde kwartaal van 2025 zou ingaan. Dat is niet gelukt, maar het proces heeft niet stilgestaan.

Op 4 juni 2025 is het wetsvoorstel officieel ingediend bij de Tweede Kamer. De regering streeft naar inwerkingtreding in Q2 2026. Nederland loopt al achter op de Europese deadline van oktober 2024 en wil niet nog langer wachten.

Voor mkb-bedrijven betekent dit: de wet komt er. Niet ‘over een paar jaar’, maar over een paar maanden. Het goede nieuws? De verplichtingen zijn inmiddels concreet uitgewerkt. Je weet precies wat er van je wordt verwacht.

Val je onder de Cyberbeveiligingswet?

De wet geldt voor organisaties met minimaal 50 medewerkers (of een jaaromzet én balanstotaal van meer dan 10 miljoen euro) in een reeks sectoren. Denk aan zorg, transport, logistiek, productie, digitale dienstverlening, energie, drinkwater en afvalverwerking. Naar schatting vallen meer dan 8.000 Nederlandse organisaties onder de wet.

Maar ook als je er niet direct onder valt, kun je er indirect mee te maken krijgen. De wet verplicht organisaties namelijk om de beveiliging van hun toeleveranciersketen te waarborgen. Als jij diensten levert aan een bedrijf dat wél onder de wet valt, kan die klant eisen stellen aan jouw beveiliging.

Drie verplichtingen in het kort

De wet kent drie pijlers.

Zorgplicht. Je organisatie moet passende maatregelen nemen om je netwerk- en informatiesystemen te beveiligen. De wet schrijft ten minste tien concrete maatregelen voor, van risicoanalyse en incidentenbehandeling tot toegangsbeheer en multifactorauthenticatie. In deel 2 van deze blog gaan we dieper in op die tien maatregelen en hoe je ze praktisch aanpakt.

Meldplicht. Bij een significant beveiligingsincident moet je binnen 24 uur een eerste melding doen via het centrale meldportaal van de overheid. Daarna volgen verdere rapportages. Het praktische probleem: om op tijd te kunnen melden, moet je allereerst wéten dat er iets aan de hand is. Zonder centrale logging en monitoring merk je een incident soms pas na dagen of weken op.

Registratieplicht. Organisaties die onder de wet vallen moeten zich registreren bij het NCSC via mijn.ncsc.nl. De formele plicht gaat pas in bij inwerkingtreding, maar je kunt je nu al vrijwillig aanmelden. Je krijgt dan direct toegang tot dreigingsinformatie en ondersteuning.

Bestuurders worden persoonlijk verantwoordelijk

Een opvallend onderdeel van de wet: bestuurders worden nadrukkelijk verantwoordelijk gemaakt. Ze moeten instemmen met de beveiligingsmaatregelen en zorgen dat er voldoende budget beschikbaar is. Daarnaast moeten bestuurders aantoonbaar over voldoende kennis van cybersecurity beschikken. Bij grove nalatigheid kunnen ze persoonlijk aansprakelijk worden gesteld.

Cybersecurity is daarmee geen onderwerp meer dat je volledig kunt delegeren aan de IT-afdeling. Het hoort op de bestuurstafel. Voor IT-managers en security-verantwoordelijken is dit goed nieuws: als je bestuur vraagt waarom er budget nodig is voor security-monitoring, heb je nu een wettelijke onderbouwing.

Vijf stappen die je nu al kunt zetten

De Rijksoverheid adviseert organisaties om niet te wachten tot de wet in werking treedt. De risico’s zijn er nu ook al. En hoe eerder je begint, hoe minder je straks onder tijdsdruk staat.

1. Check of je onder de wet valt. Gebruik de beslisboom op de website van de NCTV of doe de NIS2-Quickscan. Kijk niet alleen naar je eigen organisatie, maar ook naar je positie in de keten.
2. Start met een risicoanalyse. Breng in kaart welke systemen en data het meest waardevol zijn en welke dreigingen realistisch zijn voor jouw organisatie.
3. Regel centrale logging en monitoring. Zonder overzicht kun je incidenten niet op tijd detecteren en niet voldoen aan de meldplicht. Een SIEM-platform brengt alle logdata samen en signaleert verdachte activiteiten automatisch.
4. Zet het onderwerp op de agenda aan de bestuurstafel. Bespreek de wet met je bestuur. Leg uit wat er van de organisatie wordt verwacht en welk budget daarvoor nodig is.
5. Registreer je bij het NCSC. Ga naar mijn.ncsc.nl en registreer je organisatie alvast. Je krijgt direct toegang tot dreigingsinformatie en ondersteuning.

    Veelgestelde vragen

    Wanneer gaat de Cyberbeveiligingswet in?

    De regering streeft naar inwerkingtreding in het tweede kwartaal van 2026. Het wetsvoorstel is op 4 juni 2025 ingediend bij de Tweede Kamer. De haalbaarheid hangt mede af van de parlementaire behandeling.

    Wat is het verschil met de eerdere NIS1-richtlijn?

    NIS2 is breder dan NIS1. Er vallen meer sectoren en meer organisaties onder. De verplichtingen zijn concreter (ten minste tien zorgplichtmaatregelen) en er is toezicht met handhaving. Bestuurders worden persoonlijk verantwoordelijk.

    Mijn bedrijf heeft minder dan 50 medewerkers. Geldt de wet dan niet voor mij?

    Niet direct, maar mogelijk wel indirect. Als je diensten levert aan organisaties die onder de wet vallen, kunnen zij eisen stellen aan jouw beveiliging als onderdeel van hun ketenverantwoordelijkheid.

    Wat gebeurt er als ik niet aan de wet voldoe?

    Er komt een toezichthouder die controleert op naleving. Bij overtredingen kunnen boetes worden opgelegd. Bestuurders kunnen bij grove nalatigheid persoonlijk aansprakelijk worden gesteld.

    Lees ook deel 2: In het vervolg op deze blog bespreken we de tien zorgplichtmaatregelen in detail en laten we zien hoe je ze praktisch aanpakt – ook met een beperkt budget.

    Learn More

    Wil je weten of jouw organisatie onder de Cyberbeveiligingswet valt en wat je nu al kunt doen? Neem vrijblijvend contact met ons op via +31 (0)85 4896060 of info@apexsecurity.nl. We helpen je graag op weg.

    You may also like

    MDR versus traditionele security: Wat is het verschil?

    Kwetsbaarheden in je it omgeving zo pak je ze aan

    Losgeld of een boete een duivels dilemma in de strijd tegen cybercrime

    Cybersecurity-bullshitbingo.  Prik door de marketingtaal en ga 2026 beter voorbereid in

    This is a staging environment
    en_US
    en_US nl_NL

    Need immediate assistance in the event of a disaster?

    Call our security specialists directly on 085 4896060 (option 2)

    Information Request

    Hartelijk dank voor uw interesse in onze producten/diensten. Wij zijn ervan overtuigd dat onze oplossingen perfect aansluiten op uw behoeften.

    By clicking 'Submit' below, you consent to Apex storing and processing the personal information provided above.