De Cyberbeveiligingswet treedt naar verwachting in werking in het tweede kwartaal van 2026. Voor veel organisaties roept dat twee vragen op: geldt dit voor ons? En zo ja — wat moeten we dan eigenlijk doen?

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Ze legt cybersecurityverplichtingen op aan organisaties die essentiële of belangrijke diensten leveren — en aan de bestuurders die daarvoor verantwoordelijk zijn.

Of uw organisatie eronder valt, hangt af van twee dingen: uw sector en uw omvang.

Valt uw organisatie eronder?

De wet onderscheidt twee categorieën: essentiële entiteiten en belangrijke entiteiten. Beide hebben dezelfde verplichtingen — het toezicht verschilt.

Essentiële entiteiten zijn grote organisaties in sectoren als energie, drinkwater, transport, gezondheidszorg, digitale infrastructuur, bankwezen en overheid. Overheidsorganisaties, gekwalificeerde vertrouwensdienstverleners en aanbieders van openbare communicatienetwerken vallen ongeacht hun omvang onder deze categorie.

Belangrijke entiteiten zijn middelgrote organisaties in diezelfde sectoren, aangevuld met sectoren als post- en koeriersdiensten, afvalbeheer, chemische industrie, levensmiddelenproductie, maakindustrie, digitale dienstverleners en onderzoeksorganisaties.

De omvangsdrempel is voor de meeste sectoren: minimaal 50 medewerkers, of een jaaromzet én balanstotaal van meer dan €10 miljoen. Grote organisaties — meer dan 250 medewerkers of meer dan €50 miljoen omzet — vallen in de essentiële categorie.

Twijfelt u? Het NCSC biedt een zelfevaluatietool via mijn.ncsc.nl waarmee u kunt controleren of uw organisatie onder de wet valt.

Wat zijn de verplichtingen?

Als uw organisatie onder de Cyberbeveiligingswet valt, gelden drie plichten.

Zorgplicht — u bent verplicht een risicoanalyse uit te voeren en op basis daarvan passende maatregelen te treffen voor de beveiliging van uw netwerk- en informatiesystemen. Die maatregelen omvatten ten minste tien gebieden, waaronder risicobeheer, incidentrespons, bedrijfscontinuïteit, toegangsbeveiliging — en ketenbeveiliging.

Meldplicht — significante incidenten moet u binnen 24 uur melden bij het NCSC of het sectorale CSIRT, met een vervolgmelding binnen 72 uur en een eindrapport binnen een maand.

Registratieplicht — u registreert uw organisatie bij het NCSC via mijn.ncsc.nl.

Bestuurders zijn persoonlijk verantwoordelijk voor de naleving van de zorgplicht. Bij grove nalatigheid kunnen zij aansprakelijk worden gesteld en tijdelijk worden uitgesloten van hun functie. Voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet.

Wat betekent dit voor uw keten?

Dit is het deel dat de meeste organisaties verrast — en dat de meeste compliance-checklists onvoldoende adresseren.

Ketenbeveiliging is een van de tien verplichte zorgplichtmaatregelen. Dat betekent dat u niet alleen verantwoordelijk bent voor uw eigen systemen, maar ook voor de risico’s die uw leveranciers in uw omgeving introduceren. U moet in kaart brengen welke leveranciers toegang hebben tot uw kritieke systemen, welke risico’s zij introduceren, en welke maatregelen u treft.

Tegelijkertijd geldt: de wet legt geen directe verplichtingen op aan uw leveranciers zelf. Toezichthouders houden geen toezicht op toeleveranciers. De verantwoordelijkheid ligt volledig bij u — ook als een leverancier niet meewerkt.

Dat is de kern van de uitdaging voor de meeste organisaties die onder de Cyberbeveiligingswet vallen: u bent verantwoordelijk voor een keten die u niet volledig kunt controleren. Hoe u daarmee omgaat — systematisch, risicogebaseerd, aantoonbaar — is wat een toezichthouder beoordeelt.

Wat nu?

Als uw organisatie onder de wet valt, is de eerste stap niet het invullen van een checklist. Het is het opbouwen van een helder beeld van uw ketenafhankelijkheden — wie levert wat, welke toegang heeft wie, en waar zitten de risico’s die er het meest toe doen.

Daarvandaan wordt alles concreet: welke maatregelen zijn passend, welke leveranciers hebben welk niveau van engagement nodig, en hoe legt u dat vast op een manier die bij een audit standhoudt.

Weet u niet zeker waar uw organisatie staat? Onze Quick Scan is een gesprek van drie minuten dat u een helder beeld geeft — van uw sector, uw verplichtingen, en waar de grootste aandachtspunten liggen. Of neem direct contact op als u liever direct het gesprek aangaat.