We gebruiken cookies om je ervaring met onze website te verbeteren. Meer informatie.
WeigerenAccepteren

Wordt je aangevallen?

Cyber bijstand
Sluiten
Stand-by
technical support for enterprise networks

Cyberbeveiligingswet 2026: wat verandert er per 1 juli?

Per 1 juli 2026 gaat de Cyberbeveiligingswet in. Wat dit betekent voor middelgrote organisaties in industrie, zorg en logistiek: een feitelijk overzicht.

Op 15 april 2026 stemde de Tweede Kamer in met de Cyberbeveiligingswet. De Eerste Kamer behandelt het wetsvoorstel op 19 mei. De regering streeft naar inwerkingtreding per 1 juli 2026.

Er is geen overgangstermijn. Op de dag dat de wet ingaat, gelden de verplichtingen. Voor veel middelgrote organisaties betekent dat: er zijn nog enkele weken om voor te bereiden wat anders een lopend dossier wordt.

Hieronder een feitelijk overzicht van wat de wet inhoudt, voor wie hij geldt, en welke vragen u zich nu zou moeten stellen.

Wat is de Cyberbeveiligingswet

De Cyberbeveiligingswet is de Nederlandse wet die de Europese NIS2-richtlijn implementeert. De wet verplicht organisaties in essentiële en belangrijke sectoren tot zorgplicht, meldplicht en registratieplicht op het gebied van cybersecurity. De wet gaat naar verwachting in op 1 juli 2026.

De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen, en breidt het werkterrein van de wetgever fors uit. Waar de oude wet vooral gold voor vitale infrastructuur zoals energie en telecom, raakt de Cyberbeveiligingswet ongeveer 8.000 Nederlandse organisaties.

Dat aantal komt voort uit een breder bereik én een lager drempelcriterium. Veel meer sectoren vallen onder de nieuwe wet, en ook kleinere organisaties binnen die sectoren krijgen ermee te maken.

Voor wie geldt de wet

De wet onderscheidt twee categorieën:

Een "essentiële entiteit" is een organisatie in een aangewezen sector met meer dan 250 medewerkers of een jaaromzet boven 50 miljoen euro.

Een "belangrijke entiteit" is een organisatie in een aangewezen sector met meer dan 50 medewerkers of een jaaromzet boven 10 miljoen euro.

Sectoren die direct onder de wet vallen zijn onder andere energie, vervoer, bankwezen, gezondheidszorg, drink- en afvalwater, levensmiddelen, post- en koeriersdiensten, productie van bepaalde goederen, en digitale dienstverlening.

Voor onze doelgroep betekent dit concreet:

In de industrie vallen veel productiebedrijven onder de wet, vooral wanneer zij voedsel, chemische producten of medische hulpmiddelen produceren. In de zorg vallen ziekenhuizen, zorgaanbieders en laboratoria er direct onder. In de logistiek raakt de wet transport, opslag en distributie, ook ketenpartners van vitale sectoren.

Organisaties die niet direct onder de wet vallen, krijgen er indirect mee te maken. De wet legt expliciet eisen op aan leveranciersbeheer. Wie levert aan een organisatie die wél onder de wet valt, kan rekenen op strengere contractuele eisen, aanvullende audits en hogere verwachtingen op het gebied van informatiebeveiliging.

Wat verandert er praktisch

De Cyberbeveiligingswet kent drie hoofdverplichtingen:

Zorgplicht. Organisaties zijn verplicht passende technische en organisatorische maatregelen te nemen om cyberrisico's te beheersen. De wet schrijft geen vaste checklist voor, wel verwacht de toezichthouder een onderbouwde risicoanalyse en aantoonbare implementatie.

Meldplicht. Significante incidenten moeten binnen 24 uur bij het Nationaal Cyber Security Centrum (NCSC) worden gemeld. Een uitgebreidere melding volgt binnen 72 uur. Voor middelgrote organisaties zonder eigen 24/7-bezetting is dat een operationele uitdaging.

Registratieplicht. Organisaties die onder de wet vallen, moeten zich registreren bij het NCSC. Registratie kan nu al vrijwillig, en geeft toegang tot sectorspecifieke dreigingsinformatie.

Daarnaast bevat de wet een nieuw element dat veel bestuurlijke aandacht vraagt: persoonlijke aansprakelijkheid van bestuurders. Bestuurders moeten de cyberbeveiligingsmaatregelen actief goedkeuren en toezicht houden op de uitvoering. Er geldt ook een opleidingsplicht. Bestuurders moeten voldoende kennis hebben om die goedkeuring weloverwogen te kunnen geven. Bij niet-naleving kunnen zij persoonlijk worden aangesproken.

Wat zijn de boetes

Bij niet-naleving van de Cyberbeveiligingswet kunnen aanzienlijke boetes worden opgelegd. Voor essentiële entiteiten loopt dit op tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten ligt het maximum op 7 miljoen euro of 1,4% van de jaaromzet.

Voor middelgrote organisaties is dit zelden de belangrijkste reden om in actie te komen. Wel maakt het de wet bestuurlijk niet vrijblijvend.

Wat dit anders maakt dan voorheen

De Cyberbeveiligingswet verschilt op één belangrijk punt van eerdere wetgeving: cybersecurity is geen IT-onderwerp meer dat de directie monitort vanaf afstand. Het is een bestuurlijk verantwoordelijkheidsgebied geworden.

Dat heeft praktische gevolgen. Een securityprogramma dat alleen technisch is ingericht, voldoet niet meer. Wat de wet vraagt, is structurele inrichting: gedocumenteerde risicoanalyses, governance-afspraken, periodiek bestuurlijk overleg, gevalideerde incidentprocedures, leveranciersbeoordelingen.

Voor veel middelgrote organisaties is dit een verschuiving. Niet omdat de techniek tekortschiet, maar omdat de bestuurlijke laag eronder vaak nog moet worden ingericht. Wij verzorgen managed security waarin precies deze structurele inrichting wordt belegd.

Vier vragen voor uw organisatie

Zonder uitputtend te zijn, vier vragen die de praktische staat van zaken vrij snel duidelijk maken:

  1. Weet u zeker of uw organisatie onder de Cyberbeveiligingswet valt, en zo ja, als essentiële of belangrijke entiteit?
  2. Heeft u een actuele risicoanalyse die niet alleen technische maar ook organisatorische risico's afdekt?
  3. Kunt u binnen 24 uur een significant incident melden, ook buiten kantooruren?
  4. Is de bestuurlijke laag van uw organisatie voldoende geïnformeerd om de cyberbeveiligingsmaatregelen onderbouwd goed te keuren?

Als het antwoord op een van deze vragen onzeker is, dan is dat geen reden tot paniek. Wel is het een reden om de planning vóór 1 juli serieus te nemen.

Hoe nu verder

De Rijksoverheid adviseert organisaties expliciet om niet te wachten tot de wet in werking treedt. De risico's zijn er nu ook al, en de vier tot zes maanden voorbereidingstijd die de meeste organisaties nodig hebben, zijn schaars geworden. Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) roept organisaties op zich nu al voor te bereiden.

Begin niet met techniek, maar met de vraag of u onder de wet valt. Dan met een nulmeting van wat er nu staat. Dan met een gesprek aan de bestuurstafel over wat dit voor de eigen organisatie betekent.

Wat de Cyberbeveiligingswet vraagt, is geen kwestie van losse projecten. Het is structurele inrichting, en daar past geen sprint, wel een traject.

Heeft u vragen over wat dit voor uw organisatie betekent? Wij denken graag mee, zonder verkooppraatje. Neem contact op.

Veelgestelde vragen

Wanneer treedt de Cyberbeveiligingswet in werking? De regering streeft naar inwerkingtreding op 1 juli 2026, na goedkeuring door de Eerste Kamer. De Eerste Kamer behandelt het wetsvoorstel op 19 mei 2026.

Voor wie geldt de Cyberbeveiligingswet? Voor organisaties met meer dan 50 medewerkers of een jaaromzet boven 10 miljoen euro, actief in een van de aangewezen sectoren waaronder zorg, logistiek, industrie, energie en digitale dienstverlening. Ongeveer 8.000 Nederlandse organisaties krijgen ermee te maken.

Wat zijn de boetes bij niet-naleving? Voor essentiële entiteiten tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten tot 7 miljoen euro of 1,4% van de jaaromzet.

Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet? NIS2 is de Europese richtlijn. De Cyberbeveiligingswet is de Nederlandse wet die deze richtlijn implementeert in nationale wetgeving. De Cyberbeveiligingswet kan op punten strenger of specifieker zijn dan de Europese richtlijn.

Welke verplichtingen brengt de Cyberbeveiligingswet met zich mee? Drie hoofdverplichtingen: zorgplicht (passende maatregelen treffen), meldplicht (incidenten melden binnen 24 uur bij het NCSC) en registratieplicht (aanmelden bij het NCSC). Daarnaast persoonlijke aansprakelijkheid van bestuurders.

Terug naar overzicht
Andere artikelen
Wat betekent NIS2 voor middelgrote organisaties?
Van incidentgedreven naar structurele security: hoe u de cirkel doorbreekt
Waarom netwerkarchitectuur cruciaal is voor cybersecurity
Wanneer het AI-platform zelf het lek is
Structurele uitvoering van netwerk- en securityomgevingen
ISO-gecertificeerde cybersecuritydienstverlening
Diensten
Managed SecuritySupportConsultancy
Snelle links
CasesArtikelenOver
Snel naar
VacaturesContactCyberincident
Contact
phone
085 - 06 03 228
mail
info@cyberpeak.nl
linkdin
Blijf op de hoogte
Structurele uitvoering van netwerk- en securityomgevingen
ISO-gecertificeerde cybersecuritydienstverlening

Managed SecuritySupportConsultancy

CasesArtikelenOverVacaturesContactCyberincident

phone
085 - 06 03 228
mail
info@cyberpeak.nl
linkdin
Blijf op de hoogte
Portal
© CyberPeak 2026
Algemene voorwaardenPrivacyCookies