Zware stalen kluisdeur op een kier in een moderne serverruimte met blauw omgevingslicht en een tweede versterkte deur op de achtergrond.

Wat is de Cyberbeveiligingswet en hoe verschilt die van NIS2?

/in /door

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Waar NIS2 een Europese richtlijn is die lidstaten verplicht om nationale wetgeving op te stellen, is de Cyberbeveiligingswet de concrete wet waarmee Nederland die richtlijn in eigen wetgeving omzet. Voor organisaties in Nederland is de Cyberbeveiligingswet dus het directe juridische kader waaraan zij moeten voldoen. In dit artikel beantwoorden we de meest gestelde vragen over deze wet: wie eronder valt, wat de verplichtingen zijn, welke sancties gelden en hoe je je als organisatie voorbereidt.

Hoe verhoudt de Cyberbeveiligingswet zich tot de NIS2-richtlijn?

De Cyberbeveiligingswet en de NIS2-richtlijn zijn twee kanten van dezelfde medaille. NIS2 is de Europese richtlijn die alle EU-lidstaten verplicht om cybersecuritywetgeving te versterken. De Cyberbeveiligingswet is de Nederlandse implementatie van die richtlijn, aangevuld met een Cyberbeveiligingsbesluit dat de concrete uitvoeringsregels vastlegt.

Het verschil zit vooral in de juridische werking. Een Europese richtlijn geldt niet rechtstreeks voor organisaties: lidstaten moeten haar eerst omzetten in nationale wetgeving. Pas wanneer de Cyberbeveiligingswet in werking treedt, zijn Nederlandse organisaties formeel gebonden aan de verplichtingen. De inhoud van die verplichtingen is grotendeels gelijk aan wat NIS2 voorschrijft, maar de Nederlandse wet kan op onderdelen specifieker zijn, bijvoorbeeld over welke toezichthouder bevoegd is of hoe meldtermijnen worden ingevuld.

Voor de praktijk betekent dit: als je als organisatie voldoet aan de Cyberbeveiligingswet, voldoe je daarmee ook aan de NIS2-verplichtingen die op jou van toepassing zijn. De termen worden in de praktijk vaak door elkaar gebruikt, maar het is goed om te weten dat de wet het bindende document is waarop toezichthouders en rechters zich zullen baseren.

Welke organisaties vallen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn organisaties in sectoren die als kritiek worden beschouwd, zoals energie, drinkwater, transport, gezondheidszorg en digitale infrastructuur. Belangrijke entiteiten vallen in sectoren als ICT-dienstverlening, voedselproductie, chemie en financiële dienstverlening.

De indeling hangt af van de sector én de omvang van de organisatie. Grofweg geldt: middelgrote organisaties met meer dan 50 medewerkers of een jaaromzet boven de 10 miljoen euro kunnen in scope vallen, afhankelijk van de sector. Grote organisaties met meer dan 250 medewerkers of een omzet boven de 50 miljoen euro vallen vrijwel altijd onder de wet als zij actief zijn in een aangewezen sector.

Belangrijk om te weten: ook organisaties die niet zelf onder de wet vallen, kunnen er indirect mee te maken krijgen. Als je diensten levert aan een essentiële of belangrijke entiteit, stelt die opdrachtgever steeds vaker eisen aan jouw beveiliging als onderdeel van ketenbeveiliging. De wet spreekt in dat verband expliciet over de beveiliging van de toeleveringsketen.

Wat zijn de concrete verplichtingen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet legt organisaties een zorgplicht op: je bent verplicht passende technische en organisatorische maatregelen te nemen om de beveiliging van je netwerk- en informatiesystemen te waarborgen. Daarnaast geldt een meldplicht voor significante incidenten en een registratieplicht bij de bevoegde toezichthouder.

De zorgplicht omvat onder andere de volgende maatregelen:

  • Risicoanalyse en beleid: je moet aantoonbaar risico’s in kaart brengen en een beveiligingsbeleid opstellen dat aansluit op die risico’s.
  • Incident response: er moet een plan zijn voor het omgaan met beveiligingsincidenten, inclusief herstelmaatregelen.
  • Ketenbeveiliging: je bent verantwoordelijk voor de beveiliging van je toeleveranciers en dienstverleners die toegang hebben tot je systemen.
  • Toegangsbeheer en cryptografie: systemen moeten worden beveiligd met passende toegangscontroles en versleuteling waar nodig.
  • Continuïteitsplanning: back-ups, herstelplannen en crisismanagement zijn verplichte onderdelen van je beveiligingsaanpak.
  • Cyberhygiëne en training: medewerkers moeten worden getraind en zich bewust zijn van beveiligingsrisico’s.

Een bijzonder element is de bestuurlijke verantwoordelijkheid. Bestuurders worden persoonlijk aansprakelijk gesteld voor de naleving van de wet. Zij moeten aantoonbaar kennis hebben van cyberrisico’s en in staat zijn om beveiligingsmaatregelen te beoordelen en goed te keuren. Dit maakt cybersecurity niet langer een puur technische aangelegenheid, maar een bestuurlijk vraagstuk.

Wat zijn de sancties bij niet-naleving van de Cyberbeveiligingswet?

Bij niet-naleving van de Cyberbeveiligingswet kunnen toezichthouders forse boetes opleggen. Voor essentiële entiteiten kan de maximale boete oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4 procent van de wereldwijde jaaromzet.

Naast financiële sancties kunnen toezichthouders ook corrigerende maatregelen opleggen, zoals het verplicht laten uitvoeren van een beveiligingsaudit of het tijdelijk beperken van bepaalde activiteiten. In ernstige gevallen kunnen bestuurders persoonlijk aansprakelijk worden gesteld en kan hun tijdelijk de bevoegdheid worden ontnomen om leidinggevende functies uit te oefenen.

Het toezicht wordt in Nederland uitgeoefend door verschillende sectorale toezichthouders, afhankelijk van de branche. Voor digitale dienstverleners en ICT-bedrijven is dat naar verwachting het Agentschap Telecom. De toezichthouders hebben de bevoegdheid om inspecties uit te voeren, informatie op te vragen en bindende aanwijzingen te geven.

Wanneer treedt de Cyberbeveiligingswet in werking?

De Cyberbeveiligingswet treedt naar verwachting in het tweede kwartaal van 2026 in werking. Nederland heeft daarmee de implementatiedeadline van de NIS2-richtlijn, die oorspronkelijk op 17 oktober 2024 lag, met enige vertraging gehaald. Het wetsvoorstel heeft de parlementaire procedure doorlopen en de inwerkingtreding wordt in 2026 verwacht.

Voor organisaties die onder de wet vallen, is het moment van inwerkingtreding het startpunt van de formele verplichtingen. Dat betekent registratie bij de toezichthouder, het aantoonbaar voldoen aan de zorgplicht en het operationeel hebben van een meldproces voor incidenten. Bestuurders hebben vervolgens twee jaar de tijd om aantoonbaar te beschikken over de vereiste kennis en vaardigheden op het gebied van cybersecurity.

De praktische boodschap: de wet is er feitelijk al, ook al is de formele inwerkingtreding in 2026. Organisaties die nu beginnen met voorbereiden, lopen straks geen achterstand op en kunnen de vereiste maatregelen gestructureerd invoeren in plaats van gehaast.

Hoe begin je met de voorbereiding op de Cyberbeveiligingswet?

De voorbereiding op de Cyberbeveiligingswet begint met het bepalen of je organisatie in scope valt. Vervolgens breng je de huidige beveiligingssituatie in kaart via een nulmeting, stel je vast welke maatregelen ontbreken en werk je stap voor stap naar compliance toe.

Een praktische aanpak in stappen:

  1. Bepaal of je in scope valt: controleer of je sector en omvang je classificeren als essentiële of belangrijke entiteit.
  2. Voer een nulmeting uit: breng in kaart welke beveiligingsmaatregelen al aanwezig zijn en waar de grootste gaten zitten.
  3. Stel prioriteiten: begin met de maatregelen die het grootste risico afdekken, zoals risicoanalyse, toegangsbeheer en incidentprocedures.
  4. Train je bestuur en medewerkers: zorg dat bestuurders aantoonbaar kennis hebben van cyberrisico’s en dat medewerkers zich bewust zijn van hun rol in de beveiliging.
  5. Documenteer alles: aantoonbaarheid is een kerneis. Leg vast welke maatregelen zijn genomen, wanneer en door wie.
  6. Plan voor incidenten: zorg dat je weet hoe je een incident herkent, intern escaleert en meldt bij de toezichthouder binnen de wettelijke termijnen.

De digitale weerbaarheid van je organisatie verhogen is geen eenmalig project, maar een doorlopend proces. Regelmatige evaluaties, updates van je risicoanalyse en periodieke training houden je beveiliging actueel en je compliance aantoonbaar.

Hoe Puur ICT helpt met de Cyberbeveiligingswet en NIS2-compliance

Wij begrijpen dat de Cyberbeveiligingswet voor veel organisaties een complexe opgave is, zeker als je geen dedicated CISO of groot IT-team hebt. Als Microsoft 365-specialist en gecertificeerde ICT-dienstverlener helpen wij je stap voor stap naar volledige naleving, in begrijpelijke taal en zonder onnodige complexiteit.

Wat wij voor je doen:

  • Nulmeting en scope-analyse: we brengen je huidige beveiligingssituatie in kaart en bepalen of en hoe je onder de wet valt.
  • Technische en organisatorische maatregelen: we adviseren en implementeren de juiste beveiligingsoplossingen binnen het Microsoft-ecosysteem.
  • Bestuurderstraining: we verzorgen interactieve trainingen waarmee bestuurders aantoonbaar voldoen aan de opleidingsplicht uit het Cyberbeveiligingsbesluit.
  • Awareness-programma’s: van phishingcampagnes tot e-learning, we maken je medewerkers bewust van cyberrisico’s op een manier die beklijft.
  • Doorlopend beheer en rapportage: we ondersteunen je niet alleen bij de implementatie, maar ook bij het aantoonbaar bijhouden van je compliance over tijd.

Wil je weten waar je organisatie nu staat en wat er nodig is om te voldoen aan de Cyberbeveiligingswet? Neem contact op met Puur ICT voor een vrijblijvend gesprek. We denken graag met je mee, in kleine stappen en met een persoonlijke aanpak.

Gerelateerde artikelen

Misschien ook iets voor u
Hangslot op laptoptoetsenbord omringd door ethernetkabels en notitieboekje, symboliseert cybersecurity op kantoor.Waar begin je als je je organisatie cybersecurityproof wilt maken?
Stapel compliance-documenten naast laptop met beveiligingsdashboard, calculator en euromunten op modern bureau.Wat kost NIS2-compliance gemiddeld voor een middelgrote organisatie?
Open compliance-dossier met auditchecklist op modern bureau, laptop op achtergrond met beveiligingsdashboard, kantooromgeving met natuurlijk licht.Hoe maak je NIS2-compliance aantoonbaar richting toezichthouders?
Rij verbonden kantoorgebouwen in staal- en grijstinten met beveiligingsslot op voordeur, symboliseert toeleveringsketenbeheer en regelgeving.Geldt NIS2 ook voor organisaties die niet direct in scope vallen?
Onbeheerde laptop met gevoelige documenten op scherm in modern kantoor, koffiekopje op bureau, natuurlijk raamlicht.Hoe voorkom je dat medewerkers onbewust de beveiliging van je organisatie in gevaar brengen?
Weelderige groene plant met vertakte stengels groeiend uit een open laptoptoetsenbord op een wit modern bureau in natuurlijk daglicht.Hoe zorg je dat je digitale werkomgeving meegroeit met de manier waarop je organisatie verandert?
Gouden messing hangslot op modern bureau naast geordende mappen, groene plant op achtergrond, kantoorbeveiliging.Hoe beveilig je je organisatie goed zonder dat het een enorm project of grote investering wordt?
IT-beveiligingsprofessional bekijkt crisisrespons-checklist op laptop, rood alarmlicht op gezicht, collega's op achtergrond.Hoe stel je een crisisorganisatie in voor een cyberincident?

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.

Contactgegevens

Tel:  +31 (0) 88 165 2300
Email:  info@puurict.nl

Hoofdkantoor Heerenveen
Abe Lenstra Boulevard 62
8448 JB HEERENVEEN

Vestiging Amsterdam
Hullenbergweg 413
1101 CS AMSTERDAM

Cookieverklaring
Privacyverklaring
Algemene voorwaarden
Kennisbank

Volg ons ook op

LinkedIn

YouTube

© Copyright - Puur ICT | De Microsoft 365 specialist uit het Noorden