arrow left

Alle artikelen

De Cyberbeveiligingswet: een wet die het MKB niet kan negeren

Cybersecurity wordt vaak nog gezien als iets voor IT-afdelingen of grote organisaties. Maar wie de recente ontwikkelingen rond (internationale) cyberdreigingen volgt, ziet dat dit beeld snel achterhaald raakt.

De Cyberbeveiligingswet (Cbw), die de Europese NIS2-richtlijn in Nederland in wetgeving omzet, is momenteel in behandeling in de Eerste Kamer en gaat naar verwachting in het tweede kwartaal van 2026 in werking treden. Wat opvalt in de Kamerstukken, is dat de wetgever cybersecurity nadrukkelijk positioneert als een maatschappelijke verantwoordelijkheid. De aanleiding daarvoor is duidelijk: onze afhankelijkheid van digitale systemen groeit en daarmee ook de impact van verstoringen. Zeker in aanmerking genomen de (cyber)dreigingen vanuit onder meer Rusland. De wet is dan ook niet alleen bedoeld om individuele bedrijven te beschermen, maar om de continuïteit van essentiële diensten en economische processen veilig te stellen. 

En juist daarom raakt deze wet ook het MKB.

 

De stille verschuiving: van grootbedrijf naar hele keten

Op het eerste gezicht lijkt de Cyberbeveiligingswet vooral gericht op grotere organisaties. Naar de letter van de wet gaat het om bedrijven met meer dan 50 medewerkers en een omzet boven €10 miljoen. Echter, uit zowel de wet als de parlementaire toelichting blijkt dat de overheid bewust heeft gekozen voor een zogenaamde ketenbenadering. Bedrijven die onder de wet vallen, moeten niet alleen hun eigen digitale beveiliging op orde hebben, maar ook die van hun leveranciers. Daarmee ontstaat een belangrijke verschuiving. Cybersecurity-eisen blijven niet beperkt tot een selecte groep grote organisaties, maar verspreiden zich via contracten en samenwerkingen door de hele economie.

Voor veel MKB-bedrijven betekent dit dat zij niet rechtstreeks onder de wet hoeven te vallen om er toch volledig door geraakt te worden. Lever je aan een grotere partij? Dan zal die partij eisen stellen. En die eisen zijn niet vrijblijvend.

 

Wat de wet eigenlijk beoogt

Wie de Kamerstukken leest, ziet dat het doel van de wet breder is dan alleen het voorkomen van cyberincidenten. Het gaat ook om het beperken van de gevolgen wanneer het toch misgaat. Dat vertaalt zich in een duidelijke verantwoordelijkheid voor organisaties: zij moeten hun digitale risico’s kennen, beheersen en voorbereid zijn op verstoringen. Denk daarbij aan te nemen zorgplichtmaatregelen, zoals risicoanalyse, incidentrespons, systeembeveiliging en aandacht voor de toeleveringsketen.

Daarnaast introduceert de wet verplichtingen zoals het melden van ernstige incidenten en het onder toezicht staan van toezichthouders. Wat hierbij opvalt is dat de wet niet alleen kijkt naar techniek, maar naar de organisatie als geheel: mensen, processen en systemen.

 

Meer dan één wet: onderdeel van een bredere beweging

Een belangrijk inzicht uit de Kamerstukken is dat de Cyberbeveiligingswet niet op zichzelf staat. De regering heeft expliciet aangegeven dat deze wet samenhangt met andere wetgeving, zoals de Wet weerbaarheid kritieke entiteiten, en dat deze in samenhang moet worden behandeld. Dit onderstreept dat het hier niet gaat om een losse compliance-verplichting, maar om een bredere beweging waarin organisaties in de toekomst verantwoordelijk worden gehouden voor hun weerbaarheid — digitaal én organisatorisch.

 

Waarom dit voor het MKB een kantelpunt is

Voor MKB-ondernemers betekent dit alles dat cybersecurity een andere status krijgt. Waar het voorheen vaak een afweging was — hoeveel investeren we hierin? — wordt het nu een randvoorwaarde voor deelname aan de markt. Dat heeft drie duidelijke gevolgen:

  • Een deel van het MKB valt rechtstreeks onder de wet

  • Een nog groter deel krijgt te maken met eisen vanuit klanten

  • Cybersecurity wordt een onderwerp op bestuursniveau 

Zelfs bedrijven die formeel buiten het toepassingsgebied van de wet vallen, kunnen er in de praktijk niet omheen. Immers, onvoldoende beveiliging kan leiden tot het verlies van opdrachten of het niet mogen deelnemen aan bepaalde ketens.

 

Conclusie

De Cyberbeveiligingswet maakt één ding duidelijk: cybersecurity is niet langer een keuze, maar een verplicht onderdeel van verantwoord ondernemen. Niet alleen voor grote organisaties, maar juist ook voor het MKB.

De combinatie van directe regelgeving, ketenverantwoordelijkheid en actief toezicht zorgt ervoor dat vrijwel elke onderneming met deze wet te maken krijgt — vroeg of laat.

De vraag is dan ook niet of de Cyberbeveiligingswet relevant is voor jouw organisatie, maar hoe goed je erop bent voorbereid.

 

Meer weten?

Neem contact op met één van onze specialisten.
Corné Uitdehaag

Corné Uitdehaag

14 april 2026

Corné Uitdehaag

Arrow

Gerelateerde artikelen

Noodzaakfinanciering geschillenregeling

Jeroen Hellendoorn

Jeroen Hellendoorn

Arrow

De chip-strijd door een juridische bril: Nexperia onder de loep

Djonah van Roosmalen

Djonah van Roosmalen

Arrow

De vernieuwde geschillenregeling voor aandeelhoudersconflicten

Fabiënne Borninkhof

Fabiënne Borninkhof

Arrow
Alle artikelen Arrow

HEEFT U VRAGEN OF BENT U OP ZOEK NAAR JURIDISCH ADVIES?

Laat hieronder uw gegevens achter en geef aan wat uw vraag is. U wordt dan zo spoedig mogelijk geholpen door een van onze specialisten.
trc-advocaten-website016

Speciaal voor ondernemers en de mens erachter

Samenwerken; niet vóór u maar mét u

Eerlijk advies van onze specialisten