Cyberbeveiligingswet definitief: vanaf 15 augustus gelden nieuwe regels voor digitale veiligheid

Op 7 juli 2026 heeft de Eerste Kamer ingestemd met de Cyberbeveiligingswet. Deze wet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en treedt op 15 augustus 2026 in werking. Er is geen overgangsperiode. Dat betekent dat organisaties die onder de wet vallen, vanaf die datum direct aan de nieuwe eisen moeten voldoen.

Voor veel bedrijven verandert hiermee iets wezenlijks. Digitale veiligheid is niet langer alleen een technisch vraagstuk waar de IT-afdeling zich mee bezighoudt. Het wordt een wettelijke verplichting, met bestuurders die daar persoonlijk op aanspreekbaar zijn. Wij merken dat dit bij veel ondernemers nog niet scherp op het netvlies staat, terwijl de wet al over ruim een maand ingaat.

Voor wie geldt de wet, en wie krijgt ermee te maken

De Cyberbeveiligingswet geldt rechtstreeks voor ruim 8.000 organisaties in Nederland. Dat lijkt in eerste instantie een beperkte groep, maar de impact reikt verder. Organisaties die onder de wet vallen, moeten namelijk kunnen aantonen dat ook hun leveranciers passende beveiligingsmaatregelen hebben genomen. Werk je als leverancier voor zo’n organisatie, dan is de kans groot dat je klant binnenkort vragen stelt over jouw digitale veiligheid.

Denk daarbij aan vragen als: hoe beveilig je jouw systemen, hoe ga je om met incidenten, en welke maatregelen heb je genomen om risico’s te beperken? Ook als je zelf niet rechtstreeks onder de wet valt, kun je dus met deze vragen te maken krijgen. Voor veel mkb-bedrijven wordt cybersecurity daarmee steeds vaker een voorwaarde om zaken te kunnen blijven doen, in plaats van een keuze.

Wat de wet concreet vraagt

Organisaties die onder de Cyberbeveiligingswet vallen, krijgen te maken met een aantal verplichtingen. Ze moeten passende technische en organisatorische beveiligingsmaatregelen nemen en risico’s binnen de gehele leverancierketen beheersen. Ernstige cyberincidenten moeten binnen 24 uur worden gemeld, en de organisatie moet zich registreren bij het Nationaal Cyber Security Centrum (NCSC).

Ook de rol van bestuurders verandert. Zij krijgen een grotere verantwoordelijkheid en moeten actief toezicht houden op de genomen beveiligingsmaatregelen. Wanneer een organisatie onvoldoende aan de wet voldoet, kunnen bestuurders daar persoonlijk op worden aangesproken. Dat maakt cybersecurity niet alleen een operationeel onderwerp, maar ook een bestuurlijk aandachtspunt.

Ook zonder wettelijke verplichting is voorbereiding verstandig

Veel mkb-organisaties denken dat de Cyberbeveiligingswet hen niet raakt, omdat ze niet op de lijst van verplichte organisaties staan. In de praktijk zien wij iets anders gebeuren. Steeds meer grote opdrachtgevers vragen hun leveranciers om aantoonbaar veilig te werken, juist omdat zij zelf verantwoording moeten afleggen over hun keten.

Dat werkt twee kanten op. Bedrijven die hun beveiliging goed op orde hebben, staan sterker bij aanbestedingen, contractverlengingen en nieuwe samenwerkingen. Wie hier nu al mee bezig is, loopt straks niet achter de feiten aan wanneer een klant of opdrachtgever ernaar vraagt.

Waarom nu al beginnen zinvol is

De wet treedt pas op 15 augustus in werking, maar het verbeteren van je informatiebeveiliging kost tijd. Het is geen kwestie van één knop omzetten. Vaak is een combinatie van technische en organisatorische stappen nodig, en die stappen bouw je niet in een paar weken op.

Concreet gaat het om het krijgen van inzicht in de risico’s binnen je organisatie, het vastleggen en verbeteren van beveiligingsmaatregelen, het bewust maken van medewerkers van cyberrisico’s, het opstellen van een procedure voor het melden van incidenten, en het controleren of ook je eigen leveranciers aan de gestelde eisen voldoen. Wie hier op tijd mee start, voorkomt dat alles tegelijk moet gebeuren op het moment dat de wet al geldt.

Hoe STH helpt

Cybersecurity draait niet alleen om techniek. Het gaat vooral om het verkleinen van risico’s en om het kunnen aantonen dat je je beveiliging goed hebt geregeld. Bij STH helpen we organisaties om eerst inzicht te krijgen in hun huidige situatie. Pas daarna kijken we samen welke maatregelen daadwerkelijk passen bij jouw organisatie, zonder overbodige stappen of onnodige investeringen.

Of je nu rechtstreeks onder de Cyberbeveiligingswet valt of je wilt voorbereiden op vragen van klanten en leveranciers, wij zorgen dat je weet waar je staat en welke vervolgstappen nodig zijn. Dat doen we op de manier die je van ons gewend bent: van inventarisatie en implementatie tot structureel beheer en periodieke evaluatie.

Wil je weten wat de Cyberbeveiligingswet voor jouw organisatie betekent? Neem gerust contact met ons op. We denken graag met je mee en helpen je om op tijd voorbereid te zijn.

Veel gestelde vragen

De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet verplicht organisaties passende maatregelen te nemen om cyberrisico’s te beperken en ernstige incidenten te melden.

De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking. Er geldt geen overgangsperiode.

Niet ieder mkb-bedrijf valt rechtstreeks onder de wet. Leveranciers van organisaties die wel onder de Cyberbeveiligingswet vallen krijgen vaak dezelfde beveiligingseisen via contracten opgelegd.

Ja. De wet legt expliciet verantwoordelijkheid bij bestuurders. Zij moeten de beveiligingsmaatregelen goedkeuren, toezicht houden en zich laten informeren over cyberrisico’s.

Dat hangt af van de sector, de omvang van de organisatie en de diensten die worden geleverd. Ook leveranciers kunnen indirect met de wet te maken krijgen.

Bij ernstige overtredingen kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.

Begin met een risicoanalyse, verbeter de technische beveiliging, train medewerkers en stel een incidentresponsplan op. Ook is het belangrijk om leveranciers in kaart te brengen en afspraken vast te leggen.

Meer nieuws berichten

Nieuws

Edwin Veldman versterkt het technische team van STH

Per 1 juli is Edwin Veldman gestart als IT Engineer Binnendienst bij STH. We zijn blij hem te mogen verwelkomen binnen ons technische team.

Nieuws

Nieuwe mobiele propositie 2026: meer data, meer flexibiliteit

Vanaf 1 juni 2026 wordt de mobiele propositie vernieuwd. Met deze update krijgen organisaties meer mogelijkheden, grotere databundels en extra flexibiliteit. De bestaande mobiele diensten blijven gewoon beschikbaar, maar gebruikers profiteren voortaan van meer data binnen verschillende abonnementen en bedrijfsbundels.

Nieuws

Welkom terug, Boaz Mulder bij STH

Vanaf aanstaande maandag is Boaz Mulder weer terug bij STH als IT Adviseur. We zijn blij dat hij opnieuw onderdeel wordt van ons team en kijken uit naar de samenwerking.

Blijf op de hoogte

Wil je op de hoogte blijven van ontwikkelingen binnen IT en security? Schrijf je in voor onze nieuwsbrief en ontvang regelmatig praktische tips, updates en voorbeelden uit de dagelijkse praktijk.

We delen informatie over onderwerpen die organisaties direct raken. Denk aan Microsoft 365, security, cloudoplossingen, slimmer samenwerken en belangrijke ontwikkelingen binnen de IT-wereld.

Daarnaast nodigen we je uit voor kennissessies, webinars en andere bijeenkomsten waarin we kennis en ervaringen uit de praktijk delen.

Voor- en achternaam*