Cyberbeveiligingswet: wat industriële bedrijven nu moeten regelen

Later dit jaar treedt de Cyberbeveiligingswet (Cbw) in werking, de Nederlandse invulling van de Europese NIS2-richtlijn. Voor duizenden industriële bedrijven in Nederland heeft dat directe gevolgen. Niet alleen energiebedrijven en waterschappen vallen onder de nieuwe wet, maar ook maakbedrijven, chemische producenten en voedselverwerkers. Toch is lang niet iedereen zich daarvan bewust.

Welke industriële bedrijven vallen eronder?

De Cyberbeveiligingswet maakt onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten. Sectoren als energie, transport en drinkwater zijn als zeer kritiek aangemerkt en vallen er ongeacht hun omvang onder. Maar ook de maakindustrie, de chemische sector en de levensmiddelenindustrie staan op de lijst, zij het dat daar groottecriteria aan verbonden zijn.

Concreet: een industrieel bedrijf valt onder de wet als het minimaal 50 medewerkers heeft, of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Dat betekent dat een groot deel van het Nederlandse industriële mkb straks aan de nieuwe eisen moet voldoen. Volgens schattingen gaat het om 8.000 tot 10.000 organisaties in Nederland.

Wat wordt er verwacht?

De verplichtingen zijn breed. Bedrijven moeten een risicobeoordeling uitvoeren die zowel IT- als OT-systemen omvat. Denk aan SCADA-systemen, PLC’s en industriële netwerken. Daarnaast geldt een meldplicht: significante incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder. Ook de beveiliging van de toeleveringsketen valt onder de zorgplicht.

Opvallend is de persoonlijke aansprakelijkheid van bestuurders. Waar cybersecurity voorheen vaak een zaak van de IT-afdeling was, legt de Cyberbeveiligingswet de verantwoordelijkheid expliciet bij het bestuur. Boetes kunnen oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet.

De menselijke factor als blinde vlek

Bij circa 60 procent van alle datalekken is een menselijke handeling de oorzaak*. Een medewerker die op een phishinglink klikt, een wachtwoord deelt of ingaat op een social engineering-aanval. Hoe reëel dat risico is, bewees de cyberaanval op Odido begin 2026: criminelen wisten via gerichte phishingmails inloggegevens van helpdeskmedewerkers te bemachtigen en kregen zo toegang tot de gegevens van miljoenen klanten. Juist in industriële omgevingen, waar operators en technici steeds vaker met verbonden systemen werken, kan zo’n incident verstrekkende gevolgen hebben.

De Cyberbeveiligingswet verplicht organisaties daarom om passende maatregelen te nemen op het gebied van cyberhygiëne en opleidingen voor personeel. In de praktijk betekent dit dat bedrijven structureel moeten werken aan het cyberbewustzijn van hun medewerkers. Een effectieve manier om daar invulling aan te geven is doorlopende security awareness training (SAT) die aansluit bij de dagelijkse praktijk. Platforms als Guardey spelen hierop in met korte, periodieke trainingen en phishing-simulaties waarmee medewerkers leren verdachte berichten te herkennen. Bijkomend voordeel: dergelijke platforms bieden vaak rapportages waarmee organisaties hun inspanningen tijdens audits kunnen aantonen.

Nu beginnen loont

Hoewel de exacte invoeringsdatum nog niet vaststaat, adviseren brancheorganisaties om niet af te wachten. Cyberincidenten bij Nederlandse organisaties halen inmiddels regelmatig het nieuws en de aanvallen worden gerichter. Het opzetten van een risicobeoordeling, het in kaart brengen van de keten en het trainen van medewerkers kost tijd. Bedrijven die nu starten, hebben straks niet alleen een voorsprong qua compliance, maar verkleinen ook de kans dat een aanval de productie stillegt nog voordat de wet van kracht is.

De Cyberbeveiligingswet is geen papieren exercitie. Voor industriële bedrijven die dagelijks met verbonden machines, sensoren en besturingssystemen werken, is het de aanleiding om cybersecurity nu structureel onderdeel van de bedrijfsvoering te maken.

* Verizon Data Breach Investigations Report 2025