simler
CyberbeveiligingswetNIS2Compliance

De Cyberbeveiligingswet treedt op 15 augustus in werking. Dit is wat het betekent.

Michiel van der Steeg17 juli 20263 min leestijd

De Eerste Kamer heeft de Cyberbeveiligingswet op 7 juli 2026 aangenomen, en de wet treedt op 15 augustus in werking. Het is de Nederlandse invulling van NIS2, en na een paar jaar uitstel en speculatie of de wet nog zou worden afgezwakt, staat de definitieve tekst vast. Er is geen overgangsperiode. Vanaf 15 augustus vallen ongeveer 8.000 organisaties in 18 sectoren er direct onder, en een veelvoud daarvan wordt meegetrokken via hun klanten.

Weet je niet zeker of jouw organisatie eronder valt, daar hebben we een korte check voor gemaakt: simler.ai/cbw-check. Kost een paar minuten.

Wat er verandert

De kern van de wet is een zorgplicht. Je wordt geacht passende technische en organisatorische maatregelen tegen cyberrisico's te nemen, en die te kunnen aantonen als een toezichthouder erom vraagt. Tien sectorale toezichthouders kunnen inspecteren en handhaven, dus "aantonen" is letterlijk bedoeld.

Een paar dingen zijn goed om te weten. Significante incidenten moeten snel gemeld worden: een vroegtijdige waarschuwing binnen 24 uur en een uitgebreidere melding binnen 72 uur. Bestuurders zijn nu persoonlijk verantwoordelijk voor het beheersen van cyberrisico's en moeten er genoeg van begrijpen om de maatregelen te kunnen beoordelen. Het kan dus niet meer stilletjes bij de IT-afdeling blijven liggen.

Dan is er de keten. Val je onder de wet, dan ben je ook verantwoordelijk voor de cyberrisico's die je leveranciers meebrengen, en dat betekent dat je hen aan dezelfde eisen moet houden. In de praktijk reikt dit veel verder dan de 8.000 organisaties die de wet noemt. Lever je aan een ziekenhuis, een bank, een netbeheerder of een overheidsinstantie, dan word je gevraagd om aan te tonen dat je eigen beveiliging op orde is, of de wet je nu direct noemt of niet. Veel bedrijven die dachten dat dit hun probleem niet was, gaan het binnenkort terugzien in hun contracten.

De verschuiving is scherper dan hij op het eerste gezicht lijkt. De meeste organisaties hebben al een securitybeleid en een incident response plan liggen. Wat de wet eist, is dat je kunt bewijzen dat die ook echt werken. Een van de zorgplichtmaatregelen is het testen van de effectiviteit van je respons, en een plan dat nooit onder druk gedraaid is, is precies het soort plan dat faalt op het moment dat het ertoe doet, en dat je achteraf niet aan een toezichthouder kunt verantwoorden.

Hoe we kunnen helpen

Dit is waar simler voor gemaakt is. We draaien cybercrisis-simulaties, tabletop exercises, gebaseerd op jullie eigen context: jullie systemen, jullie beleid, en hoe jullie organisatie echt werkt. AI vult de rollen die je voor een oefening niet makkelijk bemand krijgt, het scenario past zich aan naarmate je team reageert, en elke sessie eindigt met een debriefrapport. Dat rapport is bewijs dat je aan een toezichthouder kunt laten zien, en tegelijk een helder overzicht van learnings en vervolgstappen: waar de respons standhield, waar het misging, en wat je moet oplossen voor de volgende keer.

Readiness is geen vaste staat die je één keer bereikt. Teams wisselen, verantwoordelijkheden verschuiven, en de dreigingen die je vorig jaar oefende zijn niet die van dit jaar. Eén oefening geeft je een momentopname en een vals gevoel van veiligheid; het zegt weinig over hoe je team over een half jaar presteert. De waarde zit in de herhaling: de oefening vaak genoeg draaien dat reageren op een crisis iets wordt wat je mensen echt geoefend hebben, en niet iets wat ze voor het eerst onder echte druk moeten improviseren. Dat is wat wij bedoelen met repeatable readiness, en het is precies wat de testverplichting in de wet in de kern vraagt.

Wil je weten waar je nu staat, dan is de CBW-check een logische eerste stap, en we praten graag door over hoe een eerste simulatie er voor jouw team uit zou zien.

Veelgestelde vragen

Wanneer treedt de Cyberbeveiligingswet in werking?

Op 15 augustus 2026. De Eerste Kamer nam de wet op 7 juli 2026 aan, en er is geen overgangsperiode: vanaf de ingangsdatum vallen ongeveer 8.000 organisaties in 18 sectoren er direct onder.

Valt mijn organisatie onder de Cyberbeveiligingswet?

De wet raakt direct zo'n 8.000 organisaties in 18 sectoren, maar via de ketenwerking veel meer bedrijven: lever je aan een ziekenhuis, bank, netbeheerder of overheidsinstantie, dan word je gevraagd je eigen beveiliging aan te tonen. Met de CBW-check op simler.ai/cbw-check weet je het in een paar minuten.

Wat moeten organisaties kunnen aantonen?

De kern is een zorgplicht: passende technische en organisatorische maatregelen tegen cyberrisico's, aantoonbaar als een toezichthouder erom vraagt. Daaronder valt ook het testen van de effectiviteit van je respons — een plan dat nooit onder druk gedraaid is, kun je achteraf niet verantwoorden.

Wat verandert er voor bestuurders?

Bestuurders zijn persoonlijk verantwoordelijk voor het beheersen van cyberrisico's en moeten er genoeg van begrijpen om de maatregelen te kunnen beoordelen. Cyberrisico kan dus niet meer stilletjes bij de IT-afdeling blijven liggen.

Klaar om het zelf te oefenen?

Genereer in minuten een tabletop-oefening op maat van jouw organisatie.

Aan de slag