De Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, treedt naar verwachting in het tweede kwartaal van 2026 in werking. Dat is niet over een jaar. Dat is over enkele weken. Toch zijn veel organisaties er nog niet klaar voor. Wie nu actie onderneemt, kan de belangrijkste gaten nog dichten voordat de wet van kracht wordt.

Er zijn drie concrete maatregelen die je deze maand nog kunt regelen. Dan zijn de eerste stappen tenminste gezet en wordt blijk gegeven van een goede wil.

Breng in kaart of je onder de wet valt

De Cyberbeveiligingswet maakt namelijk onderscheid tussen essentiële en belangrijke entiteiten. Het gaat niet alleen om grote bedrijven. Ook middelgrote organisaties in sectoren als zorg, transport, energie, digitale infrastructuur en voedselproductie vallen eronder. De drempel: meer dan vijftig medewerkers of een jaaromzet boven de tien miljoen euro.
Veel mkb-bedrijven gaan er ten onrechte van uit dat de wet niet op hen van toepassing is. Het NCSC biedt informatie waarmee je dit kunt vaststellen. Controleer het als eerste, want als je eronder valt ben je verplicht om beveiligingsmaatregelen te treffen én incidenten te melden.

Start met aantoonbare security awareness-training

De Cyberbeveiligingswet eist dat organisaties hun medewerkers structureel trainen op cyberveiligheid. Een jaarlijkse e-learning volstaat niet. De wet vraagt om doorlopende, meetbare maatregelen die je kunt aantonen aan toezichthouders. Phishing simulaties zijn daarvoor een van de meest effectieve middelen: medewerkers ontvangen realistische nep-phishingmails en leren aan de hand van hun eigen reactie waar de risico’s zitten.
Een platform als Guardey combineert gamified security awareness training met phishing simulaties en maakt het mogelijk om dit zonder eigen IT-afdeling op te zetten. Je hebt binnen een dag een eerste campagne draaien en beschikt direct over rapportages die je kunt overleggen bij een audit.

Stel een incidentresponseplan op

Deze versturen we 3-4x per jaar.