Over een paar weken (vanaf 1 juli 2026) wordt de nieuwe Cyberbeveiligingswet van kracht. Deze wet – de Nederlandse vertaling van de Europese NIS2-richtlijn – moet ervoor zorgen dat organisaties beter beschermd zijn tegen cyberaanvallen, datalekken en digitale verstoringen. Dat klinkt als iets voor grote bedrijven of overheden. Toch gaat deze wet veel verder dan dat. Sterker: ook als jouw bedrijf niet rechtstreeks onder de wet valt, is de kans groot dat je er toch mee te maken krijgt.
De wet richt zich op organisaties die actief zijn in sectoren die essentieel zijn voor de samenleving en economie. Denk onder meer aan energie, drinkwater, zorg, onderwijs, digitale dienstverlening, transport en logistiek, de maakindustrie, voedingsmiddelenindustrie en chemische sector. In veel gevallen geldt de wet voor organisaties met minimaal 50 medewerkers of een jaaromzet van meer dan €10 miljoen. Hierdoor vallen duizenden Nederlandse organisaties rechtstreeks onder de nieuwe regels.
Voor ondernemers in Noord-Holland Noord is echter vooral het indirecte effect belangrijk. Organisaties die onder de wet vallen, moeten namelijk ook kritisch kijken naar de digitale veiligheid van hun leveranciers en dienstverleners. Lever je producten, software, technische diensten of advies aan grotere bedrijven? Dan is de kans groot dat je vragen krijgt over jouw cyberveiligheid.
Steeds vaker zullen opdrachtgevers willen weten hoe jouw organisatie omgaat met wachtwoordbeheer, toegangsbeveiliging, back-ups, incidenten en bewustwording onder medewerkers. Digitale veiligheid wordt daarmee steeds meer een voorwaarde om zaken te kunnen blijven doen.
De Cyberbeveiligingswet rust op twee belangrijke pijlers: zorgplicht en meldplicht.
De zorgplicht betekent dat organisaties passende maatregelen moeten nemen om cyberrisico's te beheersen. Daarbij gaat het niet alleen om techniek, maar ook om processen, bestuur en menselijk gedrag. Organisaties moeten onder meer risico's in kaart brengen, beveiligingsmaatregelen regelmatig evalueren, medewerkers bewust maken van cyberrisico's, leveranciers beoordelen en zorgen voor goede back-up- en herstelprocedures. Ook het gebruik van multifactorauthenticatie (MFA) en een plan voor het afhandelen van incidenten worden belangrijke onderdelen van een veilige bedrijfsvoering.
Daarnaast geldt een meldplicht voor ernstige cyberincidenten. Wanneer een incident grote gevolgen heeft voor de dienstverlening, moet dit binnen strikte termijnen worden gemeld bij de toezichthouder. Ook bestuurders krijgen nadrukkelijk een verantwoordelijkheid. Cyberveiligheid wordt daarmee niet langer uitsluitend een onderwerp voor de IT-afdeling, maar een thema dat aandacht vraagt op directie- en bestuursniveau.
Voor organisaties die rechtstreeks onder de wet vallen, kunnen de financiële gevolgen aanzienlijk zijn. Bij ernstige overtredingen kunnen boetes oplopen tot miljoenen euro's. Daarnaast kunnen bestuurders aansprakelijk worden gesteld wanneer zij hun verantwoordelijkheid onvoldoende nemen. Voor veel mkb-bedrijven zit het grootste risico echter ergens anders. Een onvoldoende beveiligde organisatie kan klanten verliezen, uitgesloten worden van aanbestedingen of moeite krijgen met verzekeringen en financieringen. Ook bij bedrijfsovernames en investeringen wordt steeds vaker gekeken naar digitale risico's.
Met andere woorden: cyberveiligheid ontwikkelt zich van een technisch onderwerp naar een belangrijke zakelijke randvoorwaarde. Wachten tot de wet officieel van kracht wordt, is voor de meeste ondernemers geen verstandige keuze. Begin met het in kaart brengen van de belangrijkste digitale risico's binnen jouw organisatie. Kijk vervolgens naar de beveiliging van systemen, gegevens, medewerkers en leveranciers. Vaak zijn relatief eenvoudige maatregelen, zoals multifactorauthenticatie, goede back-ups en bewustwordingstrainingen, al een belangrijke eerste stap.
De Cyberbeveiligingswet vraagt niet om een eenmalig project, maar om een structurele aanpak van digitale veiligheid. Organisaties die daar nu mee beginnen, voldoen straks niet alleen beter aan wet- en regelgeving, maar versterken ook hun concurrentiepositie en betrouwbaarheid richting klanten.
Wil je weten of jouw organisatie onder de Cyberbeveiligingswet valt? De overheid heeft hiervoor een NIS2-zelfevaluatie en quickscan beschikbaar gesteld:
Digitalisering is één van de speerpunten van ONHN. Wij helpen ondernemers in Noord-Holland Noord door kennis te delen over ontwikkelingen die impact hebben op hun bedrijfsvoering. De Cyberbeveiligingswet is daar een actueel voorbeeld van.
Heb je vragen over wat deze wet voor jouw onderneming betekent of wil je weten welke stappen voor jouw organisatie relevant zijn? ONHN denkt graag met je mee en brengt je waar nodig in contact met gespecialiseerde kennispartners op het gebied van cyberveiligheid en digitale weerbaarheid.
Werk samen met andere ondernemers, investeerders, onderwijs en overheid aan projecten die de regionale economie versterken. Deze projecten helpen jou als ondernemer bij innoveren, investeren of internationaliseren.
Datalekken, hackaanvallen en ransomware: digitale bedreigingen evolueren constant. Tijdens het ONHN Ondernemerscafé op 10 september vertelt Pieter Plas van Beterbeschermd meer over digitale bedreigingen. “Bijna alle aanvallen starten binnen Microsoft 365. Iedereen denkt dat je veilig zit in de cloud van Microsoft, maar als je de standaardinstellingen niet aanpast, is dat niet zo.”
Tijdens de kick-off van de nieuwe projectperiode kwamen de partners van EDIH Digital Hub Noordwest bijeen om de ambities voor de komende jaren te bespreken. De gezamenlijke inzet blijft gericht op het ondersteunen van bedrijven bij hun digitale ontwikkeling. Ook Ontwikkelingsbedrijf Noord-Holland Noord (ONHN) is partner binnen dit netwerk.