Twee dagen voordat de Tweede Kamer akkoord ging met de Cyberbeveiligingswet, kwamen de gegevens van zo'n 200.000 Nederlandse Basic-Fit-leden op straat te liggen. Toeval qua timing. Maar het rijtje is inmiddels lang: ChipSoft, Booking.com, Rituals. De vraag is allang niet meer óf zo'n wet nodig is.
Ik merk in gesprekken met MKB-directeuren in de Drechtsteden dat de Cyberbeveiligingswet voor velen aanvoelt als de wet die "altijd volgend jaar ingaat". En dat is begrijpelijk. Hij had in 2024 al van kracht moeten zijn, werd meerdere keren uitgesteld, en juist daardoor is het idee ontstaan dat het allemaal wel zal meevallen.
Deze keer loopt het anders. De Tweede Kamer is akkoord, de Eerste Kamer is aan zet, en de wet treedt naar verwachting in juli in werking. Tijd dus om uit te leggen wat dit voor jou betekent, ook, en juist, als je denkt dat de wet niet over jou gaat.
Wat de wet precies regelt
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. De wet verplicht ongeveer 8.000 Nederlandse organisaties in achttien sectoren tot drie dingen: registratie, aantoonbare cybersecurity, en het melden van incidenten binnen 24 uur. De boetes lopen op tot 10 miljoen euro, en er is persoonlijke aansprakelijkheid voor bestuurders.
Die achttien sectoren zijn de essentiële en belangrijke: energie, transport, gezondheidszorg, drinkwater, digitale infrastructuur, overheid en nog enkele. De drempel ligt grofweg bij 50 medewerkers of meer dan 10 miljoen euro omzet. Zit je daaronder, dan val je in principe niet onder de formele registratieplicht.
En hier zou je kunnen stoppen met lezen, denkend: mooi, niet mijn probleem. Maar dat is precies de denkfout.
Waarom de wet tóch naar je toe komt
De wet reikt verder dan die 8.000 organisaties. Grotere bedrijven zijn verplicht hun zorgplicht door te leggen aan toeleveranciers en partners in de keten. Ook als die zelf buiten de registratieplicht vallen.
In de praktijk betekent dat het volgende. Stel, je levert als MKB-bedrijf diensten of producten aan een ziekenhuis, een energieleverancier of een transporteur. Zij vallen onder de wet, jij niet. Maar zij moeten kunnen aantonen dat hun hele keten veilig is, dus ook jouw schakel. Het gevolg: je krijgt vragenlijsten over risicomanagement op de mat. En wie daar geen goed antwoord op heeft, riskeert contractopschorting, reputatieschade en verloren opdrachten.
Ik zie het nu al gebeuren bij klanten. Een aannemer die voor een grote zorginstelling werkt, kreeg ineens een uitgebreide leveranciersaudit. Een groothandel die levert aan een energiebedrijf moest binnen drie weken aantonen hoe de back-ups geregeld waren. Dat zijn geen hypothetische scenario's, dat is de dagelijkse realiteit aan het worden.
De grootste fout: afwachten
De verleiding is groot om te wachten. Wachten tot de wet formeel van kracht is, of tot het een keer misgaat. Ik snap die reflex, maar het is de gevaarlijkste keuze die je kunt maken.
Een handhaver staat niet op dag één aan je deur. Maar geraakt worden door een aanval is geen kwestie van óf, maar van wanneer. En wie op dat moment niets heeft geregeld, kan achteraf niet aantonen dat aan de zorgplicht is voldaan. Dan volgen sancties alsnog, bovenop de schade die het incident zelf al heeft aangericht.
Geloof ook niet dat je als kleine organisatie onder de radar blijft. Het merendeel van de aanvallen is hagel, geen scherpschutterswerk. Een phishingmail belandt in een inbox, één klik van een medewerker, en de aanvaller zit binnen. Of je nu vijf of vijfhonderd man hebt, maakt voor die mail niet uit.
Waar je deze week mee begint
Niet met alles tegelijk. Dat is de tweede valkuil. Begin bij de processen die essentieel zijn voor het voortbestaan van je bedrijf. Breng die in kaart, bepaal per proces welke risico's eraan kleven, en beslis welke je accepteert en welke je wilt afdekken.
Denk aan ransomware in een productiebedrijf. Je machines hangen aan het netwerk, een aanval slaat toe, en de volgende ochtend staat je hele team op de zaak zonder toegang tot de systemen. De vraag is dan: heb je een partij die je kunt bellen, die weet wat er moet gebeuren, en die de boel weer aan de praat krijgt?
Zorg daarnaast dat de basis staat. Dat is geen exotische lijst: een goede firewall, tweefactorauthenticatie, geteste back-ups en monitoring. Dit zijn precies de maatregelen die wij sowieso al inrichten voor onze klanten, los van welke wet dan ook. Wat de Cyberbeveiligingswet doet, is afdwingbaar maken wat eigenlijk altijd al had moeten kloppen.
Dit hoort op de directietafel, niet op het bureau van IT
Een laatste punt, en misschien wel het belangrijkste. De fout die ik directies het vaakst zie maken, is het onderwerp doorschuiven naar "de IT". De techneuten lossen het wel op, is de gedachte.
Dat is een misrekening. De wet legt persoonlijke aansprakelijkheid bij bestuurders. En uiteindelijk gaat het om bedrijfscontinuïteit: wat gebeurt er met je onderneming als je morgen stilligt? Dat is geen technische vraag, dat is een strategische bestuursvraag.
Je hoeft als directeur de technische details niet te kennen. Maar je moet wel weten wat je kritieke processen zijn, en of de juiste maatregelen genomen zijn om die te beschermen. En behandel het niet als een project dat je afvinkt. Risico's verschuiven continu. Wat je vandaag hebt afgedekt, moet je over een jaar opnieuw tegen het licht houden. Zie het als een doorlopend proces, vergelijkbaar met hoe je met een ISO-certificering omgaat.
Tot slot
De Cyberbeveiligingswet bevat eigenlijk niets schokkends. Hij maakt afdwingbaar wat goede ondernemers allang zouden moeten doen: weten waar je kwetsbaar bent, en maatregelen treffen om jezelf te beschermen. Afwachten is geen optie meer, ook niet voor het MKB dat formeel buiten de meldplicht valt maar via klanten en partners wel degelijk wordt aangesproken.
Wil je weten of en hoe de wet jouw bedrijf raakt, en waar je nu staat? Op onze pagina over Cbw & NIS2 lees je hoe wij dit voor klanten invullen. Of bel of mail me gerust, dan kijken we samen wat in jouw situatie verstandig is.
Dit artikel is mede gebaseerd op een expertblog van Arjan Benschop (HOB ICT Security) in De Ondernemer, mei 2026.