--- title: "Nieuwe cyberwetten in 2026: de Cyberbeveiligingswet en Cyber Resilience Act | Coding Agency" description: "In 2026 treden twee grote cyberwetten in werking. De Cyberbeveiligingswet (de Nederlandse invulling van NIS2) verplicht organisaties in vitale sectoren én hun toeleveranciers tot aantoonbare beveiliging. De Cyber Resilience Act stelt eisen aan digitale producten zelf. Wat betekent dat voor jouw bedrijf?" url: https://coding.agency/kennisbank/nieuwe-cyberwetten-2026-cbw-cra source: Coding Agency (https://coding.agency) language: nl --- Juridisch 8 min leestijd # Nieuwe cyberwetten in 2026: de Cyberbeveiligingswet en Cyber Resilience Act. In 2026 treden twee grote cyberwetten in werking. De Cyberbeveiligingswet (de Nederlandse invulling van NIS2) verplicht organisaties in vitale sectoren én hun toeleveranciers tot aantoonbare beveiliging. De Cyber Resilience Act stelt eisen aan digitale producten zelf. Wat betekent dat voor jouw bedrijf? [ Jasper Koers ](https://coding.agency/over/jasper-koers) · 4 jun. 2026 ## In het kort - Twee wetten, twee invalshoeken: de Cyberbeveiligingswet regelt organisaties, de Cyber Resilience Act regelt producten - De Cyberbeveiligingswet (Nederlandse NIS2-invulling) wordt naar verwachting rond juli 2026 van kracht - De CRA-meldplicht voor ernstige beveiligingsproblemen geldt vanaf 11 september 2026, de volledige eisen vanaf 11 december 2027 - Ook als toeleverancier kun je geraakt worden: vitale organisaties vragen om aantoonbare cyberveiligheid in hun keten - De NCTV biedt een regelhulp waarmee je kunt bepalen of je onder de Cyberbeveiligingswet valt *De KVK plaatste onlangs een overzicht van de [nieuwe cyberwetten die ondernemers in 2026 raken](https://www.kvk.nl/veilig-zakendoen/nieuwe-cyberwetten-dit-moet-je-weten/). Het gaat om twee verschillende wetten met elk een eigen focus: de Cyberbeveiligingswet en de Cyber Resilience Act. Ze worden vaak door elkaar gehaald, terwijl ze iets heel anders regelen. In dit artikel zetten we beide op een rij — wanneer ze ingaan, voor wie ze gelden, en wat je nu al kunt doen.* ## Twee wetten, twee invalshoeken Het is verleidelijk om alle nieuwe cyberregelgeving op één hoop te gooien, maar dat leidt tot verkeerde aannames over wat er voor jou geldt. Het verschil is fundamenteel: - **De Cyberbeveiligingswet (Cbw)** gaat over **organisaties**. Welke maatregelen moet je als bedrijf nemen, en wanneer en hoe meld je een incident? - **De Cyber Resilience Act (CRA)** gaat over **producten**. Aan welke beveiligingseisen moet een stuk software, een app of een slim apparaat voldoen voordat het op de Europese markt mag? Veel bedrijven krijgen met beide te maken. Lever je software én gebruik je zelf software in een gevoelige sector, dan raakt de CRA je product en de Cbw je organisatie. Het loont dus om ze apart te bekijken. ## De Cyberbeveiligingswet: de Nederlandse invulling van NIS2 De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese [NIS2-richtlijn](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive). Die richtlijn verplicht lidstaten om strengere cybersecurity-eisen te stellen aan organisaties die belangrijk zijn voor de samenleving. Nederland giet dat in een eigen wet, die naar verwachting **rond juli 2026** van kracht wordt. ### Voor wie geldt de wet? De wet richt zich in de eerste plaats op organisaties in **vitale sectoren**: energiebedrijven, ziekenhuizen, banken, drinkwaterbedrijven, digitale infrastructuur en vergelijkbare diensten waar uitval grote maatschappelijke gevolgen heeft. Voor die organisaties komen er concrete verplichtingen rond risicobeheer, incidentmelding en bestuurlijke verantwoordelijkheid. Maar de wet stopt niet bij die organisaties zelf. **Toeleveranciers** krijgen er indirect ook mee te maken: een vitale organisatie moet kunnen aantonen dat de hele keten — inclusief de software en diensten die ze inkoopt — cyberveilig is. In de praktijk betekent dat: lever je aan een ziekenhuis, energiebedrijf of bank, dan zul je moeten kunnen onderbouwen dat jouw systemen op orde zijn. > De Cyberbeveiligingswet raakt niet alleen vitale organisaties, maar via de keten ook hun softwareleveranciers en dienstverleners. ### Twijfel je of je eronder valt? Of je rechtstreeks onder de wet valt, hangt af van je sector en omvang. De [Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)](https://www.nctv.nl/onderwerpen/nis2-richtlijn) biedt een online regelhulp waarmee je dat kunt bepalen. Val je er niet rechtstreeks onder, dan is het alsnog verstandig om de eisen te kennen — want je opdrachtgevers kunnen ze contractueel aan je doorgeven. Wil je dieper ingaan op wat dit voor je softwareleverancier betekent? Lees dan ons artikel [NIS2: wat moet je softwareleverancier regelen?](https://coding.agency/kennisbank/nis2-eisen-softwareleverancier) en onze concrete [aanpak op NIS2 Artikel 21](https://coding.agency/kennisbank/nis2-supplier-alignment-coding-agency). ## De Cyber Resilience Act: veilige digitale producten Waar de Cyberbeveiligingswet over organisaties gaat, draait de [Cyber Resilience Act (CRA)](https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act) om producten. De verordening geldt voor makers en importeurs van digitale producten: software, apps, slimme apparaten en alles met een digitale component dat op de Europese markt wordt aangeboden. ### Wat moet je regelen? De kern van de CRA is dat security geen bijzaak meer mag zijn. Een product moet veilig ontworpen worden, bekende kwetsbaarheden moeten worden opgelost, en de fabrikant moet gedurende de levensduur beveiligingsupdates leveren. De verplichtingen gaan gefaseerd in: - **Vanaf 11 september 2026:** de meldplicht. Ernstige beveiligingsproblemen en actief misbruik moeten snel worden gemeld bij de bevoegde instanties. - **Vanaf 11 december 2027:** de volledige beveiligingseisen. Producten moeten dan voldoen aan de security-eisen, inclusief het structureel leveren van updates en bijbehorende documentatie. Bouw of verkoop je software die in de EU op de markt komt, dan raakt dit je hele ontwikkelproces. We beschreven de praktische gevolgen eerder in [Cyber Resilience Act: wat het betekent voor jouw software](https://coding.agency/kennisbank/cyber-resilience-act-software). Het Ministerie van Economische Zaken publiceerde daarnaast een [gids over de Cyber Resilience Act](https://www.digitaleoverheid.nl/) waarmee je je kunt inlezen. ## Wat betekent dit voor het MKB? De grootste verplichtingen liggen bij vitale organisaties en productfabrikanten. Maar de praktijk is dat de eisen via de keten naar beneden druppelen. Een MKB-bedrijf dat software levert aan een zorginstelling, of een webshop draait op zelfgebouwde software, merkt de gevolgen indirect: opdrachtgevers stellen vragen, leveranciers moeten kunnen aantonen dat ze veilig werken. Het goede nieuws: veel van wat deze wetten vragen, is gewoon goed vakmanschap. Wie security vanaf het ontwerp inbouwt — [security by design](https://coding.agency/kennisbank/security-by-design-laravel) — en updates serieus neemt, voldoet al aan een groot deel van de eisen. De wetten formaliseren wat je eigenlijk toch al zou moeten doen. ## Wat je nu al kunt doen ### 1. Begin bij de basis Sterke, unieke wachtwoorden, [tweestapsverificatie](https://coding.agency/kennisbank/twee-factor-authenticatie) en het tijdig installeren van updates dekken een verrassend groot deel van het risico af. Dit zijn maatregelen die elke ondernemer vandaag kan nemen, ongeacht of je onder een van de wetten valt. ### 2. Breng je keten in kaart Welke systemen zijn kritiek voor je bedrijfsvoering? Welke leveranciers verwerken jouw data of die van je klanten? Een helder overzicht is de basis voor elk gesprek over compliance — en vaak het eerste wat een opdrachtgever van je vraagt. ### 3. Bepaal of de Cyberbeveiligingswet op jou van toepassing is Gebruik de regelhulp van de NCTV om te bepalen of je rechtstreeks onder de wet valt. Zo niet, ga dan na of je via je opdrachtgevers alsnog aan eisen moet voldoen. ### 4. Vraag je softwareleverancier hoe die zich voorbereidt Laat je software bouwen of onderhouden door een externe partij? Vraag dan concreet hoe die omgaat met kwetsbaarheden, updates en incidentmelding. Een serieuze leverancier heeft daar een helder antwoord op. ### 5. Bouw security in je product in Maak of verkoop je een digitaal product, begin dan nu met security-by-design en zorg dat je beveiligingsupdates kunt blijven leveren. Dat is precies wat de CRA straks verplicht — en het scheelt veel werk als je het vanaf het begin meeneemt in plaats van achteraf. ## Conclusie: twee wetten, één richting De Cyberbeveiligingswet en de Cyber Resilience Act benaderen cybersecurity vanuit verschillende hoeken — de organisatie en het product — maar wijzen dezelfde kant op: aantoonbaar veilig werken wordt de norm, niet de uitzondering. Voor de meeste bedrijven betekent dat geen revolutie, maar wel het structureel vastleggen en kunnen aantonen van wat goede software- en beveiligingspraktijk altijd al was. Twijfel je hoe je software zich tot deze wetten verhoudt, of wil je weten of jouw leverancier de juiste dingen doet? [Neem gerust contact op](https://coding.agency/contact) — we denken graag mee over wat dit concreet voor jouw situatie betekent. ## Veelgestelde vragen De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van de Europese NIS2-richtlijn en gaat over organisaties: bedrijven in vitale sectoren en hun toeleveranciers moeten hun cybersecurity op orde hebben en incidenten melden. De Cyber Resilience Act (CRA) gaat over producten: software, apps en slimme apparaten die op de Europese markt komen, moeten veilig ontworpen zijn en beveiligingsupdates krijgen. Kort gezegd: de Cbw regelt jouw organisatie, de CRA regelt wat je maakt of verkoopt. De Cyberbeveiligingswet wordt naar verwachting rond juli 2026 van kracht. Bij de Cyber Resilience Act geldt de meldplicht voor ernstige beveiligingsproblemen vanaf 11 september 2026, en de volledige beveiligingseisen — inclusief het leveren van updates — vanaf 11 december 2027. Mogelijk wel. Lever je software of diensten aan een organisatie in een vitale sector — energie, zorg, banken, drinkwater, digitale infrastructuur — dan kan die organisatie van jou eisen dat je aantoonbaar cyberveilig werkt. De NCTV biedt een online regelhulp waarmee je kunt bepalen of je rechtstreeks onder de wet valt. Ook als dat niet zo is, krijg je de eisen vaak via je opdrachtgevers alsnog op je bord. Begin met de basis: sterke wachtwoorden, tweestapsverificatie en het tijdig installeren van updates. Breng in kaart welke systemen en leveranciers kritiek zijn, leg vast hoe je incidenten meldt, en vraag je softwareleverancier hoe die zich op NIS2 en de CRA voorbereidt. Voor producten: zorg dat security vanaf het ontwerp is ingebouwd en dat je updates kunt blijven leveren. Gerelateerde expertise — Maatwerk Software **Maatwerk software laten maken?** Bekijk onze aanpak, werkwijze en referentieprojecten. Vanaf € 3.000, 16+ jaar ervaring, 150+ projecten opgeleverd. [ Bekijk onze aanpak ](https://coding.agency/expertises/maatwerk-software-laten-maken) [ Gratis prijsindicatie ](https://coding.agency/prijsindicatie) Onderwerpen [Cyberbeveiligingswet](https://coding.agency/kennisbank?q=Cyberbeveiligingswet) [NIS2](https://coding.agency/kennisbank?q=NIS2) [CRA](https://coding.agency/kennisbank?q=CRA) [EU](https://coding.agency/kennisbank?q=EU) [Compliance](https://coding.agency/kennisbank?q=Compliance) [Security](https://coding.agency/kennisbank?q=Security) [MKB](https://coding.agency/kennisbank?q=MKB) ## Gerelateerde artikelen [ 30 mrt. 2026 Juridisch ### Cyber Resilience Act: wat het betekent voor jouw software De EU Cyber Resilience Act verplicht fabrikanten van digitale producten om security in te bouwen vanaf het ontwerp. Vanaf september 2026 gel... ](https://coding.agency/kennisbank/cyber-resilience-act-software) [ 25 mrt. 2026 Compliance ### NIS2: wat moet je softwareleverancier regelen? De NIS2-richtlijn verplicht organisaties om hun toeleveringsketen te beveiligen. Welke eisen stel je aan je softwareleverancier — en hoe con... ](https://coding.agency/kennisbank/nis2-eisen-softwareleverancier) [ 1 nov. 2024 Architectuur ### Security by design in Laravel Waarom beveiliging geen feature is die je later toevoegt, maar een ontwerpprincipe dat je vanaf het eerste commit doorvoert. Over threat mod... ](https://coding.agency/kennisbank/security-by-design-laravel) ## Hulp nodig? Vragen over dit onderwerp? Laten we het erover hebben. [ Neem contact op ](https://coding.agency/contact) --- *Bron: [Coding Agency](https://coding.agency/kennisbank/nieuwe-cyberwetten-2026-cbw-cra)*