Cyberbeveiligingswet 2026: wat elk MKB-bedrijf nu moet weten

De Tweede Kamer behandelde op 23 maart de Cyberbeveiligingswet. De stemmingen worden de komende weken verwacht. Als die positief uitvallen — en daar gaat iedereen van uit — treedt de wet in het tweede kwartaal van 2026 in werking. Dat is over een paar maanden.

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Het doel: de digitale weerbaarheid van organisaties versterken. Klinkt abstract? Dat is het niet. Want deze wet raakt direct zo'n 10.000 organisaties in Nederland. En via de ketenverplichting een veelvoud daarvan. Grote kans dat jouw bedrijf daar ook bij zit.

Drie verplichtingen die je moet kennen

De Cyberbeveiligingswet draait om drie pijlers. Elke organisatie die eronder valt, moet aan alle drie voldoen.

1. Zorgplicht

Je moet passende technische, operationele en organisatorische maatregelen nemen om de beveiliging van je netwerk- en informatiesystemen te waarborgen. Dat betekent: risicoanalyse uitvoeren, beveiligingsbeleid opstellen, incidentbeheer regelen en medewerkers trainen. Niet eenmalig, maar doorlopend.

2. Meldplicht

Bij een significant cyberincident moet je binnen 24 uur een eerste melding doen bij het CSIRT (Computer Security Incident Response Team) of de toezichthouder. Binnen 72 uur volgt een uitgebreidere melding. Dat is snel. Als je nu geen incidentprocedure hebt, ben je al te laat als het misgaat.

3. Registratieplicht

Organisaties die onder de wet vallen, moeten zich registreren bij de Rijksinspectie Digitale Infrastructuur (RDI). Zo weet de toezichthouder wie er in scope is en kan er gericht worden gehandhaafd.

Wie valt eronder?

De wet maakt onderscheid tussen essentiële en belangrijke entiteiten. Essentiële entiteiten zijn organisaties in sectoren als energie, transport, gezondheidszorg, drinkwater en digitale infrastructuur. Belangrijke entiteiten zijn actief in sectoren als post- en koeriersdiensten, afvalverwerking, voedselproductie, chemie en digitale aanbieders.

Maar hier wordt het interessant voor MKB. De wet geldt in principe voor middelgrote en grote organisaties in deze sectoren. Kleine bedrijven met minder dan 50 werknemers en minder dan 10 miljoen euro omzet zijn in de meeste gevallen uitgezonderd.

Toch kun je als klein bedrijf niet achteroverleunen. En dat heeft alles te maken met de keten.

De ketenverantwoordelijkheid: waarom het ook jou raakt

De Cyberbeveiligingswet verplicht organisaties die eronder vallen om de beveiliging van hun hele keten te waarborgen. Dat betekent dat ze eisen gaan stellen aan hun leveranciers. En als jij levert aan een bedrijf dat onder de wet valt, krijg je die eisen op je bord.

Dit gebeurt nu al. Bedrijven als Fourtop ICT melden een duidelijke toename in aanvragen van bedrijven die niet direct onder NIS2 vallen, maar wel leveren aan klanten die dat wél doen. De vragen komen: "Heb je een beveiligingsbeleid? Hoe ga je om met incidenten? Kun je dat aantonen?"

Als installateur die levert aan een ziekenhuis. Als IT-dienstverlener voor een transportbedrijf. Als cateraar voor een energiebedrijf. Als boekhouder voor een waterleidingbedrijf. De keten is langer dan je denkt.

Bestuurders persoonlijk aansprakelijk

Dit is misschien het meest ingrijpende onderdeel van de wet. Bestuurders worden persoonlijk aansprakelijk gesteld voor tekortkomingen in de cyberbeveiliging van hun organisatie. Niet het bedrijf. Jij persoonlijk.

Bij nalatigheid kunnen bestuurders niet alleen boetes krijgen, maar ook tijdelijk uit hun functie worden gezet. De boetes kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Het bestuur moet de risicoanalyse goedkeuren, toezicht houden op de uitvoering van maatregelen en zelf een opleiding volgen in cybersecurity. "Daar heb ik mijn IT-man voor" is geen geldig excuus meer.

Drie deadlines dit jaar die je moet onthouden

2026 wordt het jaar van digitale compliance. Naast de Cyberbeveiligingswet zijn er nog twee deadlines die MKB-bedrijven raken:

Q2 2026: Cyberbeveiligingswet (NIS2). De wet treedt naar verwachting in werking na goedkeuring door Eerste en Tweede Kamer. Directe werking voor essentiële en belangrijke entiteiten. Keteneffect voor leveranciers.

2 augustus 2026: EU AI Act trainingsplicht. Elk bedrijf dat AI-systemen gebruikt, moet zorgen dat medewerkers voldoende AI-geletterd zijn. Boetes tot 35 miljoen euro.

Augustus 2026: EU AI Act volledig van kracht. De volledige verplichtingen voor hoog-risico AI-systemen worden bindend. Dat omvat AI in recruitment, kredietbeoordeling en klantenservice.

Drie wetten, één boodschap: digitale compliance is niet meer optioneel.

Vijf stappen om je voor te bereiden

Je hoeft geen ISO 27001-certificering te halen om te beginnen. Maar niets doen is geen optie meer. Dit kun je deze maand nog oppakken:

1. Bepaal of je in scope bent

Doe de NIS2-Quickscan op de website van de RDI. Die vertelt je binnen een paar minuten of jouw organisatie direct onder de wet valt. Val je er niet onder? Check dan of je levert aan organisaties die wél in scope zijn.

2. Voer een risicoanalyse uit

Breng in kaart welke systemen je gebruikt, waar je data staat, wie er toegang heeft en wat er gebeurt als een systeem uitvalt. Je hoeft geen duur bureau in te huren. Begin met de basis: welke systemen zijn bedrijfskritisch? Wat als je e-mail een week uitvalt? Wat als klantgegevens op straat liggen?

3. Stel een incidentprocedure op

Wie belt wie als er iets misgaat? Wie heeft mandaat om systemen af te sluiten? Waar staan de backups? Als je deze vragen niet binnen vijf minuten kunt beantwoorden, heb je werk te doen. De wet vereist een melding binnen 24 uur — dan moet je weten wat je doet.

4. Train je medewerkers

De zwakste schakel in cybersecurity is bijna altijd de mens. Phishing, zwakke wachtwoorden, onbeveiligde apparaten. Een korte training maakt een wereld van verschil. Dit sluit ook aan bij de AI-geletterdheidsplicht die in augustus ingaat.

5. Documenteer alles

Zonder documentatie kun je niet bewijzen dat je maatregelen hebt genomen. Leg vast welke risico's je hebt geïdentificeerd, welke maatregelen je hebt genomen en wanneer je medewerkers hebt getraind. Bij een controle of na een incident is dit je bewijs.

Wat kost het om niets te doen?

Laten we eerlijk zijn: de kans dat de RDI morgen bij je op de stoep staat, is klein. Maar de risico's zijn reëler dan je denkt.

Een klant die vraagt of je NIS2-compliant bent en je hebt geen antwoord. Een cyberincident waarbij je niet weet wie je moet bellen. Een bestuurder die persoonlijk aansprakelijk wordt gesteld omdat er geen beveiligingsbeleid was. Een leveranciersrelatie die stopt omdat je niet aan de keteneisen kunt voldoen.

De kosten van voorbereiding zijn een fractie van de kosten van een incident. De gemiddelde schade van een cyberaanval bij het MKB ligt tussen de 50.000 en 250.000 euro. Dan is een risicoanalyse en een beveiligingsbeleid een koopje.

Begin vandaag

De Cyberbeveiligingswet is geen verrassing. De EU publiceerde de NIS2-richtlijn in 2022. Nederland heeft vier jaar gehad om het te vertalen naar nationale wetgeving. De stemmingen zijn nu. De inwerkingtreding volgt snel daarna.

Bedrijven die zich nu voorbereiden, hebben drie voordelen. Ze zijn compliant wanneer de wet van kracht wordt. Ze kunnen hun klanten laten zien dat ze cybersecurity serieus nemen. En ze zijn weerbaar tegen de dreigingen die er toch al zijn, wet of geen wet.

Wil je weten hoe jouw bedrijf ervoor staat? Neem contact op voor een gratis AI-Scan. We brengen in kaart welke digitale risico's je loopt, of je in scope bent van de Cyberbeveiligingswet en welke stappen je als eerste moet zetten. Concreet, praktisch en zonder juridisch jargon.