De Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, treedt naar verwachting in het tweede kwartaal van 2026 in werking. Dat is niet over een jaar. Dat is over enkele weken. Toch zijn veel organisaties er nog niet klaar voor. Wie nu actie onderneemt, kan de belangrijkste gaten nog dichten voordat de wet van kracht wordt.

Er zijn drie concrete maatregelen die je deze maand nog kunt regelen. Dan zijn de eerste stappen tenminste gezet en wordt blijk gegeven van een goede wil.

Breng in kaart of je onder de wet valt

De Cyberbeveiligingswet maakt namelijk onderscheid tussen essentiële en belangrijke entiteiten. Het gaat niet alleen om grote bedrijven. Ook middelgrote organisaties in sectoren als zorg, transport, energie, digitale infrastructuur en voedselproductie vallen eronder. De drempel: meer dan vijftig medewerkers of een jaaromzet boven de tien miljoen euro.
Veel mkb-bedrijven gaan er ten onrechte van uit dat de wet niet op hen van toepassing is. Het NCSC biedt informatie waarmee je dit kunt vaststellen. Controleer het als eerste, want als je eronder valt ben je verplicht om beveiligingsmaatregelen te treffen én incidenten te melden.

Start met aantoonbare security awareness-training

De Cyberbeveiligingswet eist dat organisaties hun medewerkers structureel trainen op cyberveiligheid. Een jaarlijkse e-learning volstaat niet. De wet vraagt om doorlopende, meetbare maatregelen die je kunt aantonen aan toezichthouders. Phishing simulaties zijn daarvoor een van de meest effectieve middelen: medewerkers ontvangen realistische nep-phishingmails en leren aan de hand van hun eigen reactie waar de risico’s zitten.
Een platform als Guardey combineert gamified security awareness training met phishing simulaties en maakt het mogelijk om dit zonder eigen IT-afdeling op te zetten. Je hebt binnen een dag een eerste campagne draaien en beschikt direct over rapportages die je kunt overleggen bij een audit.

Stel een incidentresponseplan op

De Cyberbeveiligingswet verplicht organisaties om significante incidenten binnen 24 uur te melden bij de toezichthouder, gevolgd door een uitgebreider rapport binnen 72 uur. Dat lukt alleen als je vooraf hebt vastgelegd wie wat doet als het misgaat. Nodig is bijvoorbeeld om te weten wie er verantwoordelijk is. Wijs iemand aan die de regie neemt bij een incident. Op de tweede plaats is een meldroute nodig. Medewerkers moeten weten bij wie ze terecht kunnen als ze iets verdachts opmerken. Je krijgt daarnaast ook met externe partijen te maken. Ken de procedure voor het melden bij het NCSC of de sectorale toezichthouder. Breng verder in kaart welke systemen kritiek zijn. Weet wat als eerste moet worden veiliggesteld en waar je back-ups staan.

De boetes zijn niet symbolisch

Essentiële entiteiten riskeren boetes tot tien miljoen euro of twee procent van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een maximum van zeven miljoen euro of 1,4 procent. Daarnaast kan de toezichthouder bestuurders persoonlijk aansprakelijk stellen.
Je hoeft niet in één keer alles perfect te hebben. De wet vraagt om passende maatregelen, afgestemd op je omvang en risicoprofiel. Maar je moet wel kunnen laten zien dat je er structureel mee bezig bent. De komende weken zijn cruciaal. Wie nu begint, staat er bij de inwerkingtreding aanzienlijk beter voor dan organisaties die blijven afwachten.