Cyberbeveiligingswet per 1 juli 2026: wat moet uw organisatie nu regelen?

De klok tikt: nog minder dan 3 maanden tot de Cyberbeveiligingswet

De Cyberbeveiligingswet — de Nederlandse implementatie van de Europese NIS2-richtlijn — treedt naar verwachting op 1 juli 2026 in werking. De Tweede Kamer behandelt het wetsvoorstel in het voorjaar van 2026 en de overheid houdt vast aan Q2 2026 als invoeringsdatum.

Voor duizenden Nederlandse organisaties betekent dit dat de tijd om te handelen nu écht opraakt. De meeste bedrijven hebben vier tot zes maanden nodig om hun cybersecurity op het vereiste niveau te brengen. Wie nu nog niet is begonnen, loopt serieus risico om niet op tijd compliant te zijn.

In dit artikel zetten we alles op een rij: valt uw organisatie onder de wet, wat zijn de verplichtingen, en wat moet u deze maand nog oppakken?

Valt uw organisatie onder de Cyberbeveiligingswet?

De wet maakt onderscheid tussen twee categorieën organisaties, elk met een eigen toezichtregime:

Essentiële entiteiten (proactief toezicht)

Organisaties van groot maatschappelijk belang in sectoren zoals:

Energie — elektriciteit, gas, olie, waterstof en laadpaalexploitanten

Transport — luchtvaart, spoor, weg en maritiem, inclusief havens

Bankwezen en financiële markten — kredietinstellingen en marktinfrastructuren

Gezondheidszorg — ziekenhuizen, klinieken, laboratoria, farmaceutische fabrikanten

Drinkwater en afvalwater — waterbedrijven en rioolwaterzuivering

Digitale infrastructuur — DNS-dienstverleners, TLD-registers, datacenters, cloudaanbieders

Overheid — centrale en decentrale overheden

Ruimtevaart — exploitanten van grondinfrastructuur

Essentiële entiteiten worden proactief gecontroleerd: toezichthouders checken actief of u aan de verplichtingen voldoet.

Belangrijke entiteiten (reactief toezicht)

Organisaties in sectoren zoals:

Post- en koeriersdiensten

Afvalbeheer

Chemische industrie — productie en distributie

Voedselproductie en -distributie

Maakindustrie — fabrikanten van medische hulpmiddelen, voertuigen, elektronica en machines

Digitale dienstverleners — online marktplaatsen, zoekmachines, sociale netwerken

Onderzoek — onderzoeksorganisaties

Belangrijke entiteiten krijgen reactief toezicht: controles vinden vooral plaats na incidenten of bij signalen van niet-naleving.

De omvangscriteria

U valt onder de wet als uw organisatie in een van bovenstaande sectoren actief is én voldoet aan deze criteria:

Type	Medewerkers	Jaaromzet	Balanstotaal
Middelgroot	50–250	€10–50 miljoen	€10–43 miljoen
Groot	>250	>€50 miljoen	>€43 miljoen

Let op: Bepaalde organisaties vallen altijd onder de wet, ongeacht hun omvang. Dit geldt voor aanbieders van openbare elektronische communicatienetwerken, gekwalificeerde vertrouwensdienstverleners en overheidsorganisaties.

Ook als uw organisatie zelf niet direct onder de wet valt, kunt u indirect geraakt worden als toeleverancier van organisaties die wél onder de Cyberbeveiligingswet vallen.

De vier pijlers van de Cyberbeveiligingswet

De wet kent vier hoofdverplichtingen:

1. Zorgplicht: de 10 verplichte maatregelen

De kern van de wet: uw organisatie moet passende en evenredige technische, operationele en organisatorische maatregelen nemen. De wet schrijft tien concrete maatregelgebieden voor:

#	Maatregel	Wat het inhoudt
1	Risicoanalyse	Breng kwetsbaarheden en dreigingen in kaart, bepaal prioriteiten
2	Toegangsbeheer en personeel	Regel wie toegang heeft tot welke systemen, registreer hardware en software
3	Bedrijfscontinuïteit	Stel een BCP op zodat u kunt blijven functioneren tijdens storingen
4	Incidentrespons	Richt een gestructureerd Incident Response Plan in voor snelle actie bij incidenten
5	Cyberhygiëne	Sterke wachtwoorden, tijdige updates, bewust gedrag bij medewerkers
6	Netwerk- en informatiebeveiliging	Bescherm uw technische infrastructuur tegen aanvallen
7	Toeleveringsketenbeveiliging	Beoordeel en monitor de beveiliging van uw leveranciers
8	Cryptografie en encryptie	Stel beleid op voor versleuteling, sleutelbeheer en certificaten
9	Multi-factor authenticatie	Beveilig toegang met MFA en veilige authenticatiemethoden
10	Evaluatie en verbetering	Meet regelmatig de effectiviteit van uw maatregelen en verbeter continu

Deze tien maatregelen zijn niet optioneel — ze vormen het wettelijke minimum. Uw organisatie moet kunnen aantonen dat ze geïmplementeerd zijn.

2. Meldplicht: het drie-stappen protocol

Bij een significant cyberincident moet u melden bij het NCSC via het meldportaal. Dit gaat in drie stappen:

Stap	Termijn	Wat u moet melden
Vroegtijdige waarschuwing	Binnen 24 uur	Eerste signalering: wat is er gebeurd? Is er vermoedelijk sprake van een aanval?
Vervolgmelding	Binnen 72 uur	Aanvullende informatie: omvang, impact, eerste beoordeling van ernst
Eindverslag	Binnen 1 maand	Gedetailleerde analyse: oorzaak, genomen maatregelen, geleerde lessen

Het NCSC-portaal stuurt uw melding automatisch door naar zowel het CSIRT als de toezichthouder. Zo voorkomt u dubbele meldingen.

3. Registratieplicht

Organisaties die onder de wet vallen moeten zich registreren bij het NCSC. U levert gegevens aan zoals naam, sector, contactinformatie en IP-ranges. De registratie moet plaatsvinden vóór een vastgestelde datum na inwerkingtreding.

4. Bestuurdersaansprakelijkheid

Dit is nieuw en ingrijpend: bestuurders zijn persoonlijk verantwoordelijk voor cybersecurity-compliance. Concreet betekent dit:

Bestuurders moeten beveiligingsmaatregelen goedkeuren

Bestuurders moeten toezicht houden op de uitvoering

Er geldt een opleidingsplicht: bestuurders moeten voldoende kennis hebben om weloverwogen goedkeuring te geven

Bij nalatigheid kunnen bestuurders persoonlijk aansprakelijk worden gesteld

Dit is vergelijkbaar met de AVG-verantwoordelijkheid, maar nu specifiek voor cybersecurity. Bestuurders die cybersecurity delegeren en er verder niet naar omkijken, lopen risico.

Boetes: vergelijkbaar met de AVG

De sancties zijn fors en afhankelijk van uw classificatie:

Classificatie	Maximum boete
Essentiële entiteiten	Tot €10 miljoen of 2% van de wereldwijde jaaromzet
Belangrijke entiteiten	Tot €7 miljoen of 1,4% van de wereldwijde jaaromzet

Het hogere bedrag van de twee is van toepassing. Voor een organisatie met €500 miljoen omzet kan de boete dus oplopen tot €10 miljoen.

Praktische checklist: wat moet u nu doen?

Met minder dan 3 maanden tot de verwachte inwerkingtreding is er geen tijd te verliezen. Hier is uw actieplan voor de komende weken:

Week 1-2: Bepaal uw status

Stel vast of uw organisatie onder de wet valt (gebruik de zelfevaluatietool op ncsc.nl)

Bepaal of u een essentiële of belangrijke entiteit bent

Breng in kaart welke leveranciers ook onder de wet vallen

Informeer uw bestuur over de aankomende verplichtingen en persoonlijke aansprakelijkheid

Week 3-4: Gap-analyse

Voer een gap-analyse uit op de 10 zorgplichtmaatregelen

Inventariseer uw huidige cybersecuritymaatregelen

Identificeer de grootste hiaten

Prioriteer op basis van risico en impact

Week 5-8: Implementatie kernmaatregelen

Voer een risicoanalyse uit (maatregel 1)

Stel een incidentresponsplan op (maatregel 4)

Implementeer MFA op alle kritieke systemen (maatregel 9)

Stel beleid op voor toegangsbeheer en cryptografie (maatregelen 2 en 8)

Documenteer uw toeleveringsketenbeveiliging (maatregel 7)

Week 9-12: Borging en registratie

Stel een bedrijfscontinuïteitsplan op (maatregel 3)

Organiseer bewustwordingstraining voor medewerkers (maatregel 5)

Registreer uw organisatie bij het NCSC

Plan een evaluatiecyclus in (maatregel 10)

Laat bestuurders tekenen voor goedkeuring van de maatregelen

De relatie met ISO 27001

Goed nieuws als u al ISO 27001 gecertificeerd bent: er is aanzienlijke overlap met de Cyberbeveiligingswet. Veel van de 10 zorgplichtmaatregelen sluiten aan bij wat u al geregeld heeft binnen uw ISMS — denk aan risicoanalyse, toegangsbeheer, incidentrespons, bedrijfscontinuïteit en cryptografie.

Maar let op: ISO 27001 alleen is niet voldoende voor volledige compliance. De Cyberbeveiligingswet stelt aanvullende eisen, met name rond:

Meldplicht (24u/72u/1 maand protocol)

Bestuurdersaansprakelijkheid en opleidingsplicht

Toeleveringsketenbeveiliging (explicieter dan in ISO 27001)

Registratieplicht bij het NCSC

Het integreren van NIS2-vereisten in uw bestaande ISMS is de meest efficiënte aanpak. Zo voorkomt u dubbel werk en bouwt u voort op wat er al staat.

Hoe uComply helpt bij de Cyberbeveiligingswet

uComply is ontworpen om organisaties te helpen bij het opzetten en onderhouden van een compliance-managementsysteem — ook voor de Cyberbeveiligingswet.

NIS2/Cbw Content Pack

Het NIS2 Content Pack in uComply bevat:

Alle 10 zorgplichtmaatregelen als kant-en-klare controls met implementatie-instructies

Templates voor risicoanalyses, beleidsdocumenten en incidentresponsplannen

Gap-analyse die automatisch laat zien waar uw organisatie nog actie moet ondernemen

Meldplichtworkflow met de drie stappen (24u/72u/1 maand) ingebouwd

Multi-norm integratie

Al ISO 27001 gecertificeerd? uComply koppelt automatisch overlappende controls. Eén maatregel die u documenteert voor ISO 27001 telt direct mee voor de Cyberbeveiligingswet. Zo bespaart u tot 40% implementatietijd.

Bestuurdersrapportage

Met het Flightdeck dashboard geeft u bestuurders real-time inzicht in de compliance-status — precies wat ze nodig hebben om hun goedkeuring weloverwogen te geven en aan de opleidingsplicht te voldoen.

AI-ondersteuning

De uComply AI Consultant helpt bij het interpreteren van de zorgplichtmaatregelen, het opstellen van beleid en het beantwoorden van vragen over de Cyberbeveiligingswet — 24/7 beschikbaar.

Conclusie: nu starten is de enige optie

De Cyberbeveiligingswet is geen toekomstmuziek meer. Met de verwachte inwerkingtreding op 1 juli 2026 hebben organisaties nog minder dan drie maanden om compliant te worden. De combinatie van zorgplicht, meldplicht, registratieplicht én persoonlijke bestuurdersaansprakelijkheid maakt dit een wet die u niet kunt negeren.

De boetes zijn vergelijkbaar met de AVG, maar de impact van niet-naleving gaat verder: cyberincidenten raken uw bedrijfscontinuïteit, reputatie en klantrelaties. Investeren in cybersecurity is niet alleen een wettelijke verplichting, het is een bedrijfskritische noodzaak.

Start vandaag nog. Plan een demo en ontdek hoe uComply u helpt om op tijd te voldoen aan de Cyberbeveiligingswet.

Veelgestelde vragen

Wanneer treedt de Cyberbeveiligingswet in werking?

De verwachte inwerkingtreding is 1 juli 2026. Het wetsvoorstel is in juni 2025 ingediend bij de Tweede Kamer en wordt in het voorjaar van 2026 behandeld.

Is de Cyberbeveiligingswet hetzelfde als NIS2?

De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. De kern is gelijk, maar de Nederlandse wet bevat specifieke uitwerkingen voor onder andere toezicht, meldprocedures en bestuurdersverplichtingen.

Val ik als MKB-bedrijf ook onder de wet?

Als uw organisatie in een van de aangewezen sectoren opereert en minimaal 50 medewerkers heeft of een jaaromzet boven €10 miljoen, dan valt u waarschijnlijk onder de wet. Gebruik de zelfevaluatietool op ncsc.nl om het zeker te weten.

Wat als ik al ISO 27001 gecertificeerd ben?

ISO 27001 biedt een sterke basis, maar is niet voldoende voor volledige compliance. U moet aanvullend de meldplicht, registratieplicht en bestuurdersaansprakelijkheid regelen. uComply helpt bij het integreren van beide normen.

Kunnen bestuurders echt persoonlijk aansprakelijk worden?

Ja. De Cyberbeveiligingswet bevat een expliciete bepaling over bestuurdersaansprakelijkheid. Bestuurders moeten maatregelen goedkeuren, toezicht houden op de uitvoering en voldoende kennis hebben van cybersecurity.