De KVK plaatste onlangs een overzicht van de nieuwe cyberwetten die ondernemers in 2026 raken. Het gaat om twee verschillende wetten met elk een eigen focus: de Cyberbeveiligingswet en de Cyber Resilience Act. Ze worden vaak door elkaar gehaald, terwijl ze iets heel anders regelen. In dit artikel zetten we beide op een rij — wanneer ze ingaan, voor wie ze gelden, en wat je nu al kunt doen.
Twee wetten, twee invalshoeken
Het is verleidelijk om alle nieuwe cyberregelgeving op één hoop te gooien, maar dat leidt tot verkeerde aannames over wat er voor jou geldt. Het verschil is fundamenteel:
- De Cyberbeveiligingswet (Cbw) gaat over organisaties. Welke maatregelen moet je als bedrijf nemen, en wanneer en hoe meld je een incident?
- De Cyber Resilience Act (CRA) gaat over producten. Aan welke beveiligingseisen moet een stuk software, een app of een slim apparaat voldoen voordat het op de Europese markt mag?
Veel bedrijven krijgen met beide te maken. Lever je software én gebruik je zelf software in een gevoelige sector, dan raakt de CRA je product en de Cbw je organisatie. Het loont dus om ze apart te bekijken.
De Cyberbeveiligingswet: de Nederlandse invulling van NIS2
De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Die richtlijn verplicht lidstaten om strengere cybersecurity-eisen te stellen aan organisaties die belangrijk zijn voor de samenleving. Nederland giet dat in een eigen wet, die naar verwachting rond juli 2026 van kracht wordt.
Voor wie geldt de wet?
De wet richt zich in de eerste plaats op organisaties in vitale sectoren: energiebedrijven, ziekenhuizen, banken, drinkwaterbedrijven, digitale infrastructuur en vergelijkbare diensten waar uitval grote maatschappelijke gevolgen heeft. Voor die organisaties komen er concrete verplichtingen rond risicobeheer, incidentmelding en bestuurlijke verantwoordelijkheid.
Maar de wet stopt niet bij die organisaties zelf. Toeleveranciers krijgen er indirect ook mee te maken: een vitale organisatie moet kunnen aantonen dat de hele keten — inclusief de software en diensten die ze inkoopt — cyberveilig is. In de praktijk betekent dat: lever je aan een ziekenhuis, energiebedrijf of bank, dan zul je moeten kunnen onderbouwen dat jouw systemen op orde zijn.
De Cyberbeveiligingswet raakt niet alleen vitale organisaties, maar via de keten ook hun softwareleveranciers en dienstverleners.
Twijfel je of je eronder valt?
Of je rechtstreeks onder de wet valt, hangt af van je sector en omvang. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) biedt een online regelhulp waarmee je dat kunt bepalen. Val je er niet rechtstreeks onder, dan is het alsnog verstandig om de eisen te kennen — want je opdrachtgevers kunnen ze contractueel aan je doorgeven.
Wil je dieper ingaan op wat dit voor je softwareleverancier betekent? Lees dan ons artikel NIS2: wat moet je softwareleverancier regelen? en onze concrete aanpak op NIS2 Artikel 21.
De Cyber Resilience Act: veilige digitale producten
Waar de Cyberbeveiligingswet over organisaties gaat, draait de Cyber Resilience Act (CRA) om producten. De verordening geldt voor makers en importeurs van digitale producten: software, apps, slimme apparaten en alles met een digitale component dat op de Europese markt wordt aangeboden.
Wat moet je regelen?
De kern van de CRA is dat security geen bijzaak meer mag zijn. Een product moet veilig ontworpen worden, bekende kwetsbaarheden moeten worden opgelost, en de fabrikant moet gedurende de levensduur beveiligingsupdates leveren. De verplichtingen gaan gefaseerd in:
- Vanaf 11 september 2026: de meldplicht. Ernstige beveiligingsproblemen en actief misbruik moeten snel worden gemeld bij de bevoegde instanties.
- Vanaf 11 december 2027: de volledige beveiligingseisen. Producten moeten dan voldoen aan de security-eisen, inclusief het structureel leveren van updates en bijbehorende documentatie.
Bouw of verkoop je software die in de EU op de markt komt, dan raakt dit je hele ontwikkelproces. We beschreven de praktische gevolgen eerder in Cyber Resilience Act: wat het betekent voor jouw software. Het Ministerie van Economische Zaken publiceerde daarnaast een gids over de Cyber Resilience Act waarmee je je kunt inlezen.
Wat betekent dit voor het MKB?
De grootste verplichtingen liggen bij vitale organisaties en productfabrikanten. Maar de praktijk is dat de eisen via de keten naar beneden druppelen. Een MKB-bedrijf dat software levert aan een zorginstelling, of een webshop draait op zelfgebouwde software, merkt de gevolgen indirect: opdrachtgevers stellen vragen, leveranciers moeten kunnen aantonen dat ze veilig werken.
Het goede nieuws: veel van wat deze wetten vragen, is gewoon goed vakmanschap. Wie security vanaf het ontwerp inbouwt — security by design — en updates serieus neemt, voldoet al aan een groot deel van de eisen. De wetten formaliseren wat je eigenlijk toch al zou moeten doen.
Wat je nu al kunt doen
1. Begin bij de basis
Sterke, unieke wachtwoorden, tweestapsverificatie en het tijdig installeren van updates dekken een verrassend groot deel van het risico af. Dit zijn maatregelen die elke ondernemer vandaag kan nemen, ongeacht of je onder een van de wetten valt.
2. Breng je keten in kaart
Welke systemen zijn kritiek voor je bedrijfsvoering? Welke leveranciers verwerken jouw data of die van je klanten? Een helder overzicht is de basis voor elk gesprek over compliance — en vaak het eerste wat een opdrachtgever van je vraagt.
3. Bepaal of de Cyberbeveiligingswet op jou van toepassing is
Gebruik de regelhulp van de NCTV om te bepalen of je rechtstreeks onder de wet valt. Zo niet, ga dan na of je via je opdrachtgevers alsnog aan eisen moet voldoen.
4. Vraag je softwareleverancier hoe die zich voorbereidt
Laat je software bouwen of onderhouden door een externe partij? Vraag dan concreet hoe die omgaat met kwetsbaarheden, updates en incidentmelding. Een serieuze leverancier heeft daar een helder antwoord op.
5. Bouw security in je product in
Maak of verkoop je een digitaal product, begin dan nu met security-by-design en zorg dat je beveiligingsupdates kunt blijven leveren. Dat is precies wat de CRA straks verplicht — en het scheelt veel werk als je het vanaf het begin meeneemt in plaats van achteraf.
Conclusie: twee wetten, één richting
De Cyberbeveiligingswet en de Cyber Resilience Act benaderen cybersecurity vanuit verschillende hoeken — de organisatie en het product — maar wijzen dezelfde kant op: aantoonbaar veilig werken wordt de norm, niet de uitzondering. Voor de meeste bedrijven betekent dat geen revolutie, maar wel het structureel vastleggen en kunnen aantonen van wat goede software- en beveiligingspraktijk altijd al was.
Twijfel je hoe je software zich tot deze wetten verhoudt, of wil je weten of jouw leverancier de juiste dingen doet? Neem gerust contact op — we denken graag mee over wat dit concreet voor jouw situatie betekent.
