De Cyberbeveiligingswet komt eraan: vanaf 15 augustus moet je kunnen aantonen dat je digitaal weerbaar bent
Thijs Peeters | Gepubliceerd op:
De kogel is door de kerk. Op 15 augustus 2026 treedt de Nederlandse Cyberbeveiligingswet in werking. Daarmee wordt de Europese NIS2-richtlijn vertaald naar Nederlandse wetgeving.
Voor veel ondernemers klinkt dat misschien als iets voor grote organisaties, vitale sectoren of instellingen met complexe IT-afdelingen.
Maar dat beeld klopt niet meer.
De Cyberbeveiligingswet geldt direct voor ongeveer 10.000 grote bedrijven en instellingen in Nederland. De impact reikt echter veel verder. Want grote organisaties moeten niet alleen hun eigen digitale veiligheid op orde hebben, maar ook kijken naar de risico’s in hun keten.
En daar komt het mkb nadrukkelijk in beeld.
Lever je aan een grote klant? Werk je voor een organisatie in een essentiële of belangrijke sector? Ben je onderdeel van een productie-, logistieke, zorg-, bouw-, installatie-, software- of zakelijke dienstverleningketen?
Dan kun je te maken krijgen met nieuwe eisen. Niet omdat je zelf direct onder de wet valt, maar omdat jouw klant moet kunnen aantonen dat ook leveranciers veilig werken.
Digitale weerbaarheid is daarmee geen IT-thema meer. Het wordt een randvoorwaarde om zaken te blijven doen.
Van vertrouwen naar bewijs
Veel ondernemers vertrouwen op hun IT-leverancier, hun back-up, hun virusscanner of hun gevoel dat het “wel goed geregeld is”.
Maar onder de Cyberbeveiligingswet wordt de vraag scherper.
Niet: denk je dat het veilig is?
Maar: kun je aantonen dat het veilig genoeg is?
Grote klanten zullen vaker vragen om bewijs. Denk aan beleid, risicoanalyses, afspraken met leveranciers, incidentprocedures, toegangsbeheer, back-upbeleid, training van medewerkers en maatregelen zoals multifactor-authenticatie.
Dat bewijs wordt steeds belangrijker bij aanbestedingen, contractverlengingen, leveranciersbeoordelingen en audits.
Wie het niet kan laten zien, loopt het risico dat een opdracht vertraging oploopt, dat een contract niet wordt verlengd of dat een grote klant kiest voor een leverancier die zijn digitale weerbaarheid wél aantoonbaar op orde heeft.
Dat maakt de Cyberbeveiligingswet niet alleen een juridische verplichting, maar ook een commerciële realiteit.
Drie misverstanden die ondernemers tijd kunnen kosten
Misverstand 1: “De wet gaat waarschijnlijk toch niet door.”
Die fase is voorbij. De Cyberbeveiligingswet komt eraan en de richting is duidelijk: organisaties moeten meer verantwoordelijkheid nemen voor digitale veiligheid, continuïteit en ketenrisico’s.
Wachten tot alle vragen vanzelf beantwoord zijn, is geen strategie. Zeker niet omdat digitale weerbaarheid niet in een paar weken geregeld is. Je moet weten waar je staat, welke risico’s voor jouw organisatie het grootst zijn en welke maatregelen prioriteit hebben.
Misverstand 2: “Dit geldt niet voor ons.”
Misschien val je niet rechtstreeks onder de Cyberbeveiligingswet. Maar dat betekent niet dat je er niets van merkt.
De wet werkt door in de keten. Grote organisaties moeten beter zicht krijgen op hun leveranciers. Zij zullen dus eisen stellen aan partijen waarmee zij samenwerken.
Voor ondernemers in het mkb betekent dit dat digitale weerbaarheid onderdeel wordt van professioneel ondernemerschap. Net zoals financiële betrouwbaarheid, leveringszekerheid en kwaliteit dat al zijn.
Een klant wil niet alleen weten of je goed werk levert. Hij wil ook weten of jouw organisatie geen digitaal risico vormt voor zijn bedrijfsvoering.
Misverstand 3: “Toezicht en handhaving zullen wel meevallen.”
De Cyberbeveiligingswet draait om zorgplicht, meldplicht en toezicht. Organisaties moeten passende maatregelen nemen, incidenten kunnen melden en aantonen dat ze hun cyberrisico’s beheersen.
Dat gaat verder dan een eenmalige checklist.
Het vraagt om structurele aandacht. Om bestuurders die weten waar ze verantwoordelijk voor zijn. Om medewerkers die veilig gedrag begrijpen. Om processen die werken op het moment dat er druk ontstaat. En om technische maatregelen die niet alleen aanwezig zijn, maar ook getest en onderhouden worden.
Digitale weerbaarheid is daarmee geen document in een map. Het is een manier van werken.
Waarom dit juist nu urgent is
15 augustus 2026 lijkt misschien nog ver weg. Maar voor ondernemers die nog moeten beginnen, is de tijd kort.
Want aantoonbare digitale weerbaarheid vraagt om meer dan het aanvinken van een paar maatregelen. Je moet eerst weten wat je belangrijkste processen, systemen en informatiestromen zijn. Daarna breng je risico’s in kaart. Vervolgens bepaal je welke maatregelen ontbreken en welke stappen nodig zijn om die goed in te richten.
Denk aan vragen als:
-
Welke systemen zijn cruciaal voor onze bedrijfsvoering?
-
Wie heeft toegang tot welke gegevens?
-
Zijn onze back-ups getest?
-
Weten medewerkers wat ze moeten doen bij een verdachte mail?
-
Hebben we een incident response plan?
-
Zijn afspraken met leveranciers vastgelegd?
-
Kunnen we aan klanten laten zien welke maatregelen we hebben genomen?
Veel organisaties komen er pas tijdens zo’n analyse achter dat er wel losse maatregelen zijn, maar nog geen samenhangend geheel.
En juist die samenhang is belangrijk.
Bij Bol Adviseurs kijken we daarom niet alleen naar techniek. Digitale weerbaarheid gaat over mens, proces en techniek. Over voorkomen, signaleren, reageren en herstellen. Want zelfs met goede beveiliging kun je nooit garanderen dat er niets gebeurt. Je kunt wél zorgen dat je risico’s verkleint, sneller reageert en de schade beperkt als het misgaat.
Wat vraagt de Cyberbeveiligingswet in de praktijk?
Voor organisaties die direct onder de wet vallen, komen onder meer de volgende thema’s terug:
-
risicoanalyse en beleid voor informatiebeveiliging;
-
incidentafhandeling en meldprocedures;
-
bedrijfscontinuïteit, back-upbeheer en crisismanagement;
-
beveiliging van de toeleveringsketen;
-
training en bewustwording van management en medewerkers;
-
toegangsbeheer en activabeheer;
-
multifactor-authenticatie en veilige communicatie;
-
evaluatie van genomen maatregelen.
Voor leveranciers betekent dit vooral: bereid je voor op vragen van klanten.
Grote klanten zullen willen weten wat jij doet om veilig te werken. Niet alleen op papier, maar aantoonbaar. Dat vraagt om bewijs, structuur en eigenaarschap.
Hoe Bol Adviseurs helpt
Bij Bol Adviseurs ondersteunen Roy Verbroekken en Thijs Peeters ondernemers bij het versterken van hun digitale weerbaarheid. Niet vanuit angst, maar vanuit continuïteit, vertrouwen en toekomstbestendigheid.
We starten met inzicht.
Waar staat jouw organisatie nu? Welke maatregelen zijn al genomen? Waar zitten de grootste risico’s? En welke stappen zijn nodig om aantoonbaar te voldoen aan de eisen die vanuit wetgeving, klanten of ketenpartners op je afkomen?
Daarvoor werken we onder andere met een risicoanalyse en volwassenheidsmeting. Die nulmeting maakt zichtbaar hoe digitaal weerbaar jouw organisatie nu is. Vervolgens helpen we met het prioriteren en implementeren van maatregelen die passen bij jouw organisatie.
Dat kan gaan om beleid, bewustwording, toegangsbeheer, leveranciersafspraken, incidentprocedures, back-up- en herstelplannen, monitoring of begeleiding richting certificering of aantoonbare compliance.
Niet alles hoeft tegelijk. Maar er moet wel een plan zijn.
Begin vandaag
De Cyberbeveiligingswet maakt één ding duidelijk: digitale veiligheid is niet langer vrijblijvend.
Voor grote organisaties wordt het een wettelijke verplichting. Voor veel leveranciers wordt het een voorwaarde om klant te blijven. En voor iedere ondernemer is het een manier om de continuïteit van het bedrijf te beschermen.
Wacht daarom niet tot een klant om bewijs vraagt. Wacht niet tot een incident laat zien waar de kwetsbaarheid zit. En wacht niet tot de deadline te dichtbij komt om nog zorgvuldig te kunnen handelen.
Begin met inzicht. Breng je risico’s in kaart. Bepaal welke maatregelen ontbreken. En werk stap voor stap toe naar aantoonbare digitale weerbaarheid.
Wil je weten wat de Cyberbeveiligingswet en NIS2 voor jouw organisatie betekenen?
Neem contact op met Roy Verbroekken of Thijs Peeters van Bol Adviseurs. Samen brengen we in kaart waar je nu staat, wat nodig is en hoe je jouw organisatie klaar maakt voor de wettelijke én commerciële eisen die eraan komen.