De Cyberbeveiligingswet is goedgekeurd: Dit is jouw 3-stappenplan

Het heeft even geduurd, maar de kogel is door de kerk: de Tweede Kamer heeft de Cyberbeveiligingswet (Cbw) officieel aangenomen. Hiermee wordt de Europese NIS2-richtlijn definitief verankerd in de Nederlandse wetgeving. Dit betekent dat cybersecurity vanaf de inwerkingtreding op 15 augustus 2026 voor duizenden bedrijven een harde wettelijke verplichting wordt. Om te zorgen dat je als ondernemer niet verzandt in ingewikkelde wetsteksten, hebben we de belangrijkste cyberbeveiligingswet MKB stappen voor je op een rij gezet.

De wet komt er met een duidelijke reden: de digitale dreigingen tegen onze kritieke infrastructuur en toeleveringsketens nemen hand over hand toe. Veel ondernemers schieten nu direct in de stress en beginnen lukraak dure security-tools of ingewikkelde firewalls aan te schaffen. Niet doen. Cybersecurity start niet bij de techniek, maar bij het proces.

Veel ondernemers schieten nu direct in de stress en beginnen lukraak dure security-tools of ingewikkelde firewalls aan te schaffen. Niet doen. Cybersecurity start niet bij de techniek, maar bij het proces.

Hier zijn de enige logische cyberbeveiligingswet MKB stappen om mee te starten.

Cyberbeveiligingswet MKB stappen

Om te zorgen dat je als ondernemer niet verzandt in ingewikkelde wetsteksten, is het verstandig om gestructureerd te werk te gaan. Cybersecurity start namelijk niet bij de techniek, maar bij het proces.

Hieronder bespreken we de drie logische fasen waar je vandaag al mee aan de slag kunt.

Stap 1: Controleer of je eronder valt (of je ketenpartner)

De eerste van de cruciale cyberbeveiligingswet MKB stappen is bepalen of de wet überhaupt op jouw bedrijf van toepassing is. Organisaties moeten in de basis zelf nagaan of ze onder de wetgeving vallen. Dit beoordeel je aan de hand van twee criteria via de Rijksoverheid:

  1. De Sector: Valt jouw organisatie binnen een van de 18 aangewezen sectoren (denk aan energie, transport, gezondheidszorg, maar ook digitale aanbieders, afvalbeheer en machinebouw)?
  2. De Omvang: Voldoe je aan de omvangscriteria? Vaak vallen middelgrote en grote bedrijven (vanaf 50 medewerkers en/of 10 miljoen euro omzet) direct onder de scope.

Let op voor het ‘kleine’ MKB: Zelfs als je op basis van je eigen cijfers te klein bent, kun je via de toeleveringsketen (supply chain) verplicht worden om aan de eisen te voldoen. Grote klanten die onder de Cbw vallen, gaan contractueel van hun leveranciers eisen dat zij hun security op orde hebben.

Stap 2: Registreren (Indien je eronder valt)

Blijkt uit de check dat je een ‘essentiële’ of ‘belangrijke’ entiteit bent? Dan brengt het chronologisch opvolgen van de cyberbeveiligingswet MKB stappen je bij de officiële registratieplicht.

Vanaf de inwerkingtreding ben je verplicht om je organisatie te registreren in het centrale entiteitenregister van de overheid via mijn.ncsc.nl. Hiervoor moet je basale bedrijfsgegevens aanleveren, zoals je contactgegevens en de sector waarin je actief bent. Dit zorgt ervoor dat de overheid en de sectorale toezichthouders precies weten wie zij proactief moeten informeren bij grootschalige cyberdreigingen.

Stap 3: Aan de slag met de risicoanalyse (Altijd doen!)

Dit is de belangrijkste stap, en het is de stap waar 90% van de bedrijven de mist in gaat. De wet spreekt over een zorgplicht: je moet passende en evenredige maatregelen nemen om je IT-omgeving te beveiligen. Maar hoe weet je wat ‘passend’ is als je je risico’s niet kent?

Volgens de officiële richtlijnen van het NCSC ben je verplicht om eerst een risicoanalyse uit te voeren. Op basis van die analyse bepaal je pas welke maatregelen echt nodig zijn.

Onze filosofie: Of je nou wel of niet wettelijk onder de Cyberbeveiligingswet valt: voer die risicoanalyse gewoon uit. Cybercriminelen kijken namelijk niet naar je KvK-inschrijving of het aantal medewerkers dat je hebt; ze zoeken simpelweg naar de zwakste schakel. Een risicoanalyse legt bloot waar jouw bedrijf écht kwetsbaar is (is dat je legacy server, je back-upbeheer, of het gebrek aan security-bewustzijn bij het personeel?).

En daarna? Pas dán kijken we naar de maatregelen

Pas als de risicoanalyse op tafel ligt, ga je kijken naar de concrete invulling van de zorgplicht. Denk hierbij aan:

  • Het opstellen van een incident response plan (wat doen we als we gehackt worden?).
  • Het structureel trainen van het personeel (de menselijke factor).
  • Technische implementaties zoals netwerksegmentatie, sterke encryptie en het dichten van gaten in je Microsoft 365-omgeving (zoals het blokkeren van device code phishing).

De risico’s die je loopt zijn er vandaag ook al. Wacht dus niet af tot de wet handhaaft, maar gebruik dit moment om je fundering strak te zetten.

Hulp nodig bij het opzetten van een pragmatische risicoanalyse die past bij jouw MKB-organisatie? Neem vandaag nog contact met ons op.

Cyberbeveiligingswet MKB stappen infographic met de Europese vlag en een IT-professional die de NIS2-stappen analyseert.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *


Scroll naar boven