De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, is op 15 april 2026 aangenomen door de Tweede Kamer. Wordt verwacht per 1 juli 2026 te starten. Voor ZZP’ers en MKB-bedrijven geldt de wet meestal niet direct, maar via de ketenzorgplicht hebben bijna alle ondernemers er toch mee te maken.
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (CBW) is de Nederlandse implementatie van de Europese NIS2-richtlijn (Network and Information Security Directive 2). De wet vervangt een wet uit 2018 en stelt strengere eisen aan de digitale beveiliging van organisaties die essentiële diensten leveren in Nederland.
De wet introduceert twee centrale verplichtingen voor organisaties die er direct onder vallen:
Zorgplicht: Organisaties moeten aantoonbare technische en organisatorische maatregelen treffen om hun netwerk- en informatiesystemen te beveiligen. Dit omvat onder meer risicoanalyses, incidentbeheer, toegangsbeveiliging en continuiteitsplanning.
Meldplicht: Significante incidenten moeten binnen 24 uur worden gemeld bij de relevante toezichthouder. Niet-naleving kan leiden tot boetes tot 10 miljoen euro.
Welke sectoren vallen onder de Cyberbeveiligingswet?
De wet onderscheidt twee categorieën entiteiten:
Essentiële entiteiten (strengste eisen, actief toezicht):
- Energie (elektriciteit, gas, olie)
- Transport (lucht, rail, water, weg)
- Bankwezen en financiële marktinfrastructuur
- Gezondheidszorg
- Drinkwater en afvalwater
- Digitale infrastructuur (datacenters, DNS, cloudproviders)
- Overheidsinstanties
Belangrijke entiteiten (lichtere eisen, reactief toezicht):
- Post- en koeriersdiensten
- Afvalbeheer
- Chemische industrie
- Voedselproductie
- Medische hulpmiddelen en elektronica
- Managed service providers (MSP’s) en IT-dienstverleners
Valt mijn ZZP-bedrijf of MKB onder de Cyberbeveiligingswet?
Antwoord: waarschijnlijk niet direct.
De Cyberbeveiligingswet geldt primair voor middelgrote ondernemingen (meer dan 50 medewerkers of meer dan 10 miljoen euro omzet) en grote ondernemingen (meer dan 250 medewerkers of meer dan 50 miljoen euro omzet) in de aangewezen sectoren. Micro- en kleine bedrijven vallen in principe buiten de directe reikwijdte.
Er zijn twee uitzonderingen:
- Ministerieel aanwijzingsbesluit – De verantwoordelijke minister kan ook een kleine onderneming aanwijzen als de dienstverlening als cruciale infrastructuur wordt beschouwd. Dit geldt met name voor aanbieders van domeinnaamregistratie en elektronische communicatiediensten.
- Ketenzorgplicht – Dit is de reden waarom de Cyberbeveiligingswet voor vrijwel alle ZZP’ers en MKB’ers relevant is, ook zonder directe wettelijke plicht.
Wat is de ketenzorgplicht en waarom raakt die jou?
De ketenzorgplicht houdt in dat bedrijven die direct onder de Cyberbeveiligingswet vallen, verantwoordelijk zijn voor de digitale veiligheid van hun hele toeleveringsketen. Ze zijn verplicht om ook bij hun leveranciers – hoe klein ook – te controleren of de basisbeveiliging op orde is.
Naar schatting vallen 8.000 tot 10.000 Nederlandse bedrijven direct onder de Cyberbeveiligingswet. Die nemen via hun inkoopbeleid en contractuele eisen 50.000 tot 100.000 toeleveranciers mee.
Praktisch voorbeeld: Een freelance IT-consultant werkt voor een zorginstelling. Die zorginstelling valt als essentiële entiteit direct onder de Cyberbeveiligingswet en moet aantonen dat haar leveranciers veilig werken. De consultant krijgt een vragenlijst. Of een auditverzoek. Of een contractclausule die stelt dat minimale beveiligingsnormen verplicht zijn.
Nog een voorbeeld: Een koeriersbedrijf met tien medewerkers rijdt voor een logistiek bedrijf dat onder de wet valt. Die logistieke partij heeft straks een keuze: een leverancier met aantoonbare basisbeveiliging, of een zonder. Cybersecurity wordt een gunningscriteria.
Wat moet een ZZP’er of MKB-bedrijf concreet regelen?
Voor ZZP’ers en MKB’ers die niet direct onder de Cyberbeveiligingswet vallen, geldt geen wettelijke verplichting. Maar door de ketenzorgplicht worden de volgende maatregelen in de praktijk steeds vaker contractueel vereist door opdrachtgevers:
Toegangsbeveiliging
- Meerfactorauthenticatie (MFA) op alle zakelijke accounts
- Sterk wachtwoordbeleid, bij voorkeur via een wachtwoordmanager
- Minimale toegangsrechten per medewerker of applicatie
Systeem- en softwarebeheer
- Automatische updates voor besturingssystemen en applicaties
- Actuele antivirussoftware of endpoint detection and response (EDR)
- Inventarisatie van alle systemen en softwarelicenties
Back-up en continuiteit
- Regelmatige back-ups, versleuteld opgeslagen en offline bewaard
- Getest herstelproces – een back-up die je nooit hebt getest is geen back-up
- Basisplan voor wat je doet als er toch iets misgaat
E-mailbeveiliging
- SPF, DKIM en DMARC correct geconfigureerd op je domein
- Bewustzijn van phishing bij jezelf en je medewerkers
Aantoonbaarheid
- Documenteer wat je hebt geregeld – opdrachtgevers vragen hier steeds vaker naar
- Overweeg het NIS2 Quality Mark, een laagdrempelig keurmerk specifiek voor MKB
Wanneer gaat de Cyberbeveiligingswet precies in?
Tijdlijn:
- 16 januari 2023 – NIS2-richtlijn treedt in werking in de EU
- 17 oktober 2024 – Deadline voor omzetting naar nationale wetgeving (Nederland mist deze deadline)
- 4 juni 2025 – Wetsvoorstel Cyberbeveiligingswet ingediend bij de Tweede Kamer
- 15 april 2026 – Tweede Kamer stemt in met het wetsvoorstel
- 1 juli 2026 – Verwachte inwerkingtreding (afhankelijk van goedkeuring Eerste Kamer)
Tot de wet in werking treedt, blijft de huidige Wbni van kracht voor organisaties die daar nu al onder vallen.
Hoe weet ik of mijn bedrijf direct onder de wet valt?
De Rijksoverheid heeft een gratis zelfevaluatietool gepubliceerd via regelhulpenvoorbedrijven.nl. Daarmee kun je in een paar stappen bepalen of jouw organisatie als essentiële of belangrijke entiteit wordt aangemerkt.
Valt je bedrijf er niet direct onder? Dan is het alsnog verstandig om de basismaatregelen op orde te hebben. Niet alleen vanwege de ketenzorgplicht, maar simpelweg omdat 60% van de MKB-bedrijven die een succesvolle cyberaanval meemaken, binnen zes maanden failliet gaat.
Conclusie: wat moet je nu doen?
De Cyberbeveiligingswet is geen ver-van-mijn-bed-verhaal voor ZZP’ers en MKB’ers. Via de ketenzorgplicht werkt de wet door in de hele Nederlandse economie. Opdrachtgevers gaan vragen stellen. Contracten krijgen nieuwe clausules. Aantoonbare beveiliging wordt een vereiste om mee te mogen doen.
De wet verplicht je er misschien niet toe. De markt straks wel.
Tien Security helpt ZZP’ers en MKB-bedrijven met praktische cybersecurity – van basisbeveiliging tot NIS2-voorbereiding. Geen jargon, geen gedoe. Meer weten? Kijk op tiensecurity.nl.
Veelgestelde vragen over de Cyberbeveiligingswet
Wat is het verschil tussen NIS2 en de Cyberbeveiligingswet? NIS2 is de Europese richtlijn. De Cyberbeveiligingswet (Cbw) is de Nederlandse omzetting van die richtlijn in nationale wetgeving. Inhoudelijk zijn ze grotendeels gelijk, maar de Cbw bevat aanvullingen die specifiek zijn voor de Nederlandse situatie.
Moet ik als ZZP’er iets doen voor de Cyberbeveiligingswet? Niet wettelijk verplicht, tenzij je wordt aangewezen door de minister. Maar als je levert aan bedrijven die er wel direct onder vallen, kun je via contractuele eisen alsnog worden gevraagd om je beveiliging aan te tonen.
Wat is de meldplicht onder de Cyberbeveiligingswet? Organisaties die direct onder de wet vallen, moeten significante beveiligingsincidenten binnen 24 uur melden bij de toezichthouder en het CSIRT. ZZP’ers en MKB’ers zonder directe plicht hebben deze verplichting niet, maar kunnen door opdrachtgevers worden gevraagd om incidenten te melden die impact hebben op de keten.
Wat zijn de boetes bij niet-naleving van de Cyberbeveiligingswet? Voor essentiële entiteiten kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten is het maximum 7 miljoen euro of 1,4% van de jaaromzet. Deze boetes gelden voor bedrijven die direct onder de wet vallen, niet voor kleine toeleveranciers.
Wanneer treedt de Cyberbeveiligingswet in werking? Verwacht per 1 juli 2026, nadat de Eerste Kamer akkoord geeft. De Tweede Kamer stemde op 15 april 2026 in met het wetsvoorstel.