1. Wéér een nieuwe wet?!

Je hebt de termen NIS2 en CBW vast al eens voorbij horen komen. Misschien in een nieuwsbrief, LinkedIn-post of via een klant. En je dacht waarschijnlijk: “Klinkt belangrijk… maar wat moet ik ermee?” Geen zorgen, je bent niet de enige. Veel ondernemers en kleine bedrijven weten nog niet precies wat deze nieuwe regels betekenen of wat ze ermee moeten. Deze blog legt het simpel en duidelijk uit. Geen technisch jargon, gewoon in normaal Nederlands.

2. Wat is NIS2 eigenlijk?

NIS2 is een Europese richtlijn die gaat over digitale veiligheid. De naam staat voor “Network and Information Security Directive 2” en is de opvolger van de eerste NIS-richtlijn uit 2016. Simpel gezegd: Europa wil dat belangrijke sectoren beter beschermd zijn tegen cyberaanvallen. Denk aan ziekenhuizen, waterbedrijven, energiebedrijven, maar ook IT-dienstverleners en transportbedrijven.

NIS2 verplicht deze organisaties om hun cybersecurity op orde te brengen: risico’s in kaart brengen, maatregelen nemen en incidenten melden. Het doel? Voorkomen dat een hack of storing grote gevolgen heeft voor de samenleving.

3. En wat is dan de CBW?

CBW staat voor de Cyberbeveiligingswet. Dit is de Nederlandse wet die NIS2 gaat uitvoeren. De CBW vervangt straks de oude Wbni (Wet beveiliging netwerk- en informatiesystemen).

Het wetsvoorstel voor de CBW is inmiddels ingediend bij de Tweede Kamer. De regering streeft naar inwerkingtreding in het tweede kwartaal van 2026, inclusief de onderliggende regelgeving.

Tot die tijd geldt de oude wet nog, maar veel bedrijven bereiden zich nu al voor. De CBW zorgt ervoor dat de Europese regels uit NIS2 ook in Nederland gelden. De overheid krijgt hiermee meer mogelijkheden om toezicht te houden op de digitale veiligheid van bedrijven.

4. Geldt dit ook voor mijn bedrijf?!

Goede vraag. De wet is in principe bedoeld voor middelgrote en grote organisaties in kritieke sectoren. Denk aan bedrijven met meer dan 50 medewerkers óf meer dan €10 miljoen omzet die actief zijn in bijvoorbeeld zorg, energie, transport, IT, voedselproductie of digitale dienstverlening.

Ben je een klein bedrijf (minder dan 50 medewerkers en minder dan €10 miljoen omzet)? Dan val je meestal niet direct onder de CBW. Maar let op:

• Lever je aan grotere bedrijven die wél onder de wet vallen? Dan kunnen zij eisen stellen aan jouw cyberveiligheid.

• Bied je een cruciale dienst aan (bijvoorbeeld beheer van internetinfrastructuur of IT-beveiligingsdiensten)? Dan val je er mogelijk alsnog onder.

Dus: misschien val je er niet direct onder, maar indirect wél. Grote klanten gaan steeds vaker eisen dat hun leveranciers ook digitaal veilig zijn.

5. Wat moet ik dan doen?

Als je eronder valt (of wilt voorbereiden op toekomstige eisen), dan moet je het volgende op orde hebben:

• Breng je risico’s in kaart. Wat kan er misgaan en wat zijn de gevolgen?

• Zorg voor goede cyberhygiëne. Denk aan software-updates, sterke wachtwoorden, antivirus en firewalls.

• Maak back-ups. En test of je ze ook echt kunt terugzetten.

• Gebruik tweestapsverificatie. Zeker voor e-mail, boekhouding en andere gevoelige systemen.

• Train je personeel. Leer ze phishingmails herkennen en hoe ze veilig omgaan met data.

• Maak een simpel noodplan. Wat doe je als je gehackt wordt? Wie bel je?

Je hoeft geen expert te zijn. Maar je moet wel de basis op orde hebben.

6. Waarom zou je dit serieus nemen?

Cyberaanvallen komen steeds vaker voor. En niet alleen bij grote bedrijven. Ook kleine bedrijven zijn een doelwit. Soms puur omdat ze makkelijk binnen te komen zijn.

Wat kan er gebeuren?

• Je systemen liggen plat.

• Klantgegevens lekken uit.

• Je kunt dagen niet werken.

• Je reputatie loopt schade op.

En als je onder de CBW valt en je voldoet niet aan de regels? Dan kun je te maken krijgen met inspecties, boetes tot miljoenen euro’s en aansprakelijkheid voor bestuurders.

Maar nog belangrijker: het gaat niet alleen om de wet. Het gaat om je eigen bedrijfsveiligheid. Niemand wil slachtoffer worden van een cyberaanval.