Nieuwe cyberwet treedt vanaf juli in werking: ‘Boetes oplopend tot 10 miljoen euro’ dreigen voor mkb’ers

Twee dagen voor de Tweede Kamer op 15 april akkoord ging met de cyberbeveiligingswet, kregen hackers de gegevens van zo’n 200.000 Nederlandse leden van Basic-Fit in handen. Het is de zoveelste hack die we in het inmiddels lange rijtje kunnen zetten, naast ChipSoft, Booking.com en Rituals. Dat de hack uitgerekend twee dagen voor de stemming plaatsvond, is toeval. Dat zo’n wet hard nodig is, allang niet meer.

De cyberbeveiligingswet, de Nederlandse vertaling van de Europese NIS2-richtlijn, treedt na jaren uitstel naar verwachting in juli in werking. De wet verplicht zo’n 8000 Nederlandse organisaties in achttien sectoren tot registratie, aantoonbare cybersecurity en melding van incidenten binnen 24 uur, met boetes oplopend tot 10 miljoen euro en persoonlijke aansprakelijkheid voor bestuurders. Maar de wet reikt verder dan die 8000: grotere bedrijven zijn verplicht hun zorgplicht door te leggen aan toeleveranciers en partners in de keten, ook als die zelf buiten de formele registratieplicht vallen. Voor veel mkb’ers betekent dat: de wet komt toch naar je toe.

Lees ook: 9 ton boete omdat er ‘groen onderweg’ op je werkbus staat: nieuwe regels maken korte metten met vage claims

Deze keer wordt het echt

Voor veel ondernemers zal de cyberbeveiligingswet inmiddels aanvoelen als de wet die ‘altijd volgend jaar ingaat’. Hij had in 2024 al van kracht moeten zijn, werd vervolgens meerdere keren uitgesteld en juist daardoor is bij een deel van het bedrijfsleven het idee ontstaan dat het allemaal wel zal meevallen. Maar deze keer loopt het anders. De Tweede Kamer ging akkoord, de Eerste Kamer is aan zet en het eindstation komt in zicht. De vraag is dan ook hoe je je er als ondernemer goed op voorbereidt. In deze blog zet ik de belangrijkste do’s en don’ts op een rij.

Don’t: afwachten

Do: nu in beweging komen

De eerste fout is afwachten: wachten tot de wet formeel van kracht wordt of tot het misgaat met een datalek of hack. De druk komt bovendien niet alleen uit Den Haag. Grotere klanten en partners zetten hun eigen zorgplicht door in de keten en mkb’ers kunnen de vragenlijsten over risicomanagement nu al op de mat verwachten. Wie daar geen goed antwoord op heeft, riskeert contractopschorting, reputatieschade en verloren opdrachten.

Wet en ketendruk zijn een stok achter de deur, maar de echte reden zit dieper: je wilt niet het bedrijf zijn waar klantgegevens op straat liggen of de productie drie dagen stilligt door ransomware.

Kom dus nu in beweging. Een handhaver staat op dag één niet direct aan de deur. Maar geraakt worden is geen kwestie van of, maar van wanneer. En wie dan niets heeft geregeld, kan niet aantonen dat aan de zorgplicht is voldaan. Sancties volgen alsnog, bovenop de schade die het incident zelf al aanricht.

Don’t: alles tegelijk

Do: beginnen bij je kritieke processen

Een tweede valkuil is alles tegelijk willen oppakken. Begin bij de processen die essentieel zijn voor het voortbestaan van je organisatie. Breng die in kaart, bepaal per proces welke risico’s eraan kleven en beslis welke je accepteert en welke je wilt afdekken. Neem ransomware in de maakindustrie: je machines hangen aan het IT-netwerk, een aanval slaat toe en morgenochtend staat je team op de zaak zonder toegang tot de systemen. Heb je dan een partij die je kunt bellen, die forensisch onderzoek doet en die met de ransomwarebende onderhandelt?

Zorg daarnaast dat de basis staat: firewall, tweefactorauthenticatie, goede back-ups en 24/7-monitoring. En geloof niet dat je als kleine organisatie onder de radar blijft. Het merendeel van de aanvallen is hagel: een phishingmail belandt in de inbox, één klik van een medewerker en de hacker zit binnen.

Don’t: doorschuiven naar IT

Do: eigenaarschap bij de directie

Een veelgemaakte fout is dat directies de uitwerking van de wet doorschuiven naar de IT-afdeling, in de veronderstelling dat de ‘techneuten’ het wel oplossen. Een misrekening. In de wet zit namelijk persoonlijke aansprakelijkheid voor bestuurders. Bovendien gaat het uiteindelijk om bedrijfscontinuïteit: wat gebeurt er met je onderneming als je morgen stil komt te liggen? Dat is geen IT-vraag, maar een strategische bestuursvraag.

Begin dus bij de directie. Zorg dat op het hoogste niveau iemand eigenaar is van het onderwerp. Die bestuurder hoeft geen technische details te kennen, maar moet wel weten wat de kritieke processen zijn en of de juiste maatregelen zijn genomen om die te beschermen.

Don’t: het als project afvinken

Do: het als proces inrichten

De laatste valkuil is denken dat je klaar bent zodra er een vinkje is gezet. Een tool aanschaffen, beleid formuleren, de implementatie afronden en door naar het volgende project. Zo werkt het niet. Risico’s verschuiven voortdurend en wat je vandaag hebt afgedekt, moet je morgen mogelijk opnieuw tegen het licht houden.

Behandel cybersecurity daarom als een doorlopend proces, vergelijkbaar met de manier waarop organisaties werken met een ISO-certificering. Evalueer minstens één keer per jaar: spelen de geïdentificeerde risico’s nog, zijn de maatregelen nog afdoende of zijn er nieuwe dreigingen bijgekomen?

Geen tijd meer te verliezen

De cyberbeveiligingswet bevat uiteindelijk niets schokkends. Hij maakt wel afdwingbaar wat ondernemers allang zouden moeten doen: weten waar je kwetsbaar bent en maatregelen treffen om jezelf te beschermen. Afwachten is allang geen optie meer. Ook niet voor mkb’ers die zelf buiten de formele meldplicht vallen, maar via hun partners of klanten wel degelijk worden aangesproken op hun cybersecurity. Zet het daarom deze week op de directieagenda, voordat een incident dat voor je doet.

Lees ook: ‘Je hoeft niet eens ergens op te klikken’: waarom AI-koppelingen het paard van Troje voor je bedrijf kunnen zijn