Inhoudsopgave
1. Wat is de Cyberbeveiligingswet precies? 2. Val ik onder de Cyberbeveiligingswet? 3. Wat moet je nú regelen? (checklist voor MKB) 4. Hoe Retslav je helpt om compliant te worden 5. Wat kost het om niet compliant te zijn? 6. Veelgestelde vragen 7. Aan de slag voor 15 augustus1. Wat is de Cyberbeveiligingswet precies?
De Cyberbeveiligingswet (Cbw) is de Nederlandse omzetting van de Europese NIS2-richtlijn. Het doel: de digitale weerbaarheid van Nederlandse organisaties verhogen door verplichte beveiligingsmaatregelen en meldplicht bij incidenten.
De wet vervangt de oude Wet beveiliging netwerk- en informatiesystemen (Wbni) en is een stuk strenger. Waar de Wbni alleen gold voor "aanbieders van vitale diensten", breidt de Cbw de scope uit naar middelgrote en kleine organisaties in kritieke en belangrijke sectoren.
Kernverplichtingen op een rij
- Zorgplicht — Je moet een risicoanalyse uitvoeren en passende beveiligingsmaatregelen nemen. Dit is geen vrijblijvend advies, maar een wettelijke verplichting.
- Meldplicht — Bij een significant cyberincident moet je dit binnen 24 uur melden bij het CSIRT (Computer Security Incident Response Team) en de toezichthouder.
- Registratieplicht — Organisaties die onder de wet vallen, moeten zich registreren in het entiteitenregister.
- Toezicht — De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht en kan boetes opleggen bij niet-naleving.
2. Val ik onder de Cyberbeveiligingswet?
Veel MKB-ondernemers denken: "dit geldt alleen voor banken, energiebedrijven en ziekenhuizen." Maar de Cbw is breder dan dat.
Essentiële entiteiten (strenger toezicht)
- Energie, vervoer, bankwezen, financiële markten, gezondheidszorg, drinkwater, digitale infrastructuur
- Overheidsdiensten (centraal en decentraal)
Belangrijke entiteiten (lichter toezicht)
- Post- en koeriersdiensten
- Digitale aanbieders (webhosting, clouddiensten, datacenters, online marktplaatsen)
- Afvalverwerking
- Chemie, voedingsmiddelen, productie
- Onderzoek
💡 Praktijkvoorbeeld
Een webhostingbedrijf met 10+ medewerkers dat shared hosting en VPS-diensten aanbiedt, valt onder "digitale aanbieders" en is daarmee een belangrijke entiteit. Ook een klein IT-dienstverlener met 15 man kan onder de wet vallen als zijn diensten essentieel zijn voor klanten.
Onzeker of je eronder valt? De Rijksoverheid publiceert binnenkort een zelfevaluatietool. Houd www.digitaleoverheid.nl in de gaten.
3. Wat moet je nú regelen? (checklist voor MKB)
Je hebt tot 15 augustus — maar wacht niet tot het laatste moment. Dit zijn de stappen die je deze week al kunt zetten:
Stap 1: Voer een risicoanalyse uit
Breng in kaart welke systemen, data en processen kritiek zijn. Waar liggen kwetsbaarheden? Denk aan ongepatchte software, geen DDoS-bescherming, ontbrekende backups, zwakke toegangscontrole.
Stap 2: Implementeer "passende beveiligingsmaatregelen"
De wet zegt niet exact welke maatregelen je moet nemen — dat is maatwerk. Maar in de praktijk komt het neer op:
- Netwerkbeveiliging — firewalls, DDoS-mitigatie, segmentatie
- Toegangsbeheer — multi-factor authenticatie (MFA), role-based access
- Back-up & herstel — regelmatige, geteste backups met offline/offsite kopie
- Incidentdetectie — monitoring en logging van verdachte activiteit
- Patchmanagement — tijdig updaten van software en systemen
Stap 3: Stel een incidentresponsplan op
Wat doe je als je getroffen wordt door een DDoS-aanval of datalek? Wie belt er? Hoe meld je binnen 24 uur? Een draaiboek is geen overbodige luxe — het is een vereiste.
Stap 4: Registreer je entiteit
Zodra het entiteitenregister open is (voor de inwerkingtreding van de wet), moet je jouw organisatie registreren bij de toezichthouder.
Stap 5: Documenteer alles
De toezichthouder kan vragen om inzicht in je beveiligingsmaatregelen. Zonder documentatie kun je niet aantonen dat je aan de zorgplicht voldoet.
4. Hoe Retslav je helpt om compliant te worden
De Cyberbeveiligingswet klinkt als een berg werk, en dat is het ook. Maar veel van de verplichte maatregelen kun je eenvoudig uitbesteden aan je hostingpartner.
✓ DDoS-bescherming
Always-on mitigatie op netwerkniveau, voordat verkeer jouw server bereikt. Opschaling in minder dan 30 seconden.
✓ Automatische backups
Dagelijkse automatische backups, incrementele snapshots en externe opslag. Getest en wel — binnen uren weer online.
✓ Beveiligde hosting
NVMe-storage, geïsoleerde containers, geautomatiseerde firewall-regels. 99,99% uptime-target met monitoring.
✓ Nederlands datacenter
Data blijft binnen Nederland. Niet alleen beter voor latency, maar ook voor compliance met Nederlandse en EU-wetgeving.
Eén aanspreekpunt: Geen wirwar van losse leveranciers voor hosting, DDoS-bescherming, backups en monitoring. Retslav levert het als één geïntegreerde dienst — dat maakt het eenvoudiger om je beveiligingsmaatregelen te documenteren en aan te tonen aan de toezichthouder.
5. Wat kost het om niet compliant te zijn?
De boetes onder de Cyberbeveiligingswet zijn fors:
- Essentiële entiteiten: boete tot €10 miljoen of 2% van de wereldwijde jaaromzet
- Belangrijke entiteiten: boete tot €7 miljoen of 1,4% van de wereldwijde jaaromzet
Maar de echte kosten zitten niet in de boete — ze zitten in de schade van een incident. De gemiddelde DDoS-aanval kost een MKB-bedrijf €12.000 aan downtime, herstel en reputatieschade. Tel daarbij een boete op omdat je niet de juiste maatregelen had getroffen, en je bent snel duizenden euro's verder.
De rekensom: Retslav's hosting met DDoS-bescherming begint bij €5/maand. Dat is minder dan één kop koffie per dag voor gemoedsrust én wettelijke compliance.
6. Veelgestelde vragen over de Cyberbeveiligingswet
Geldt de wet ook als ik maar 3 medewerkers heb?
Ja, als jouw organisatie in een van de aangewezen sectoren valt en diensten levert die essentieel zijn voor andere bedrijven of de overheid. De wet kijkt niet alleen naar personeelsaantal, maar ook naar de impact van een incident op de maatschappij.
Kan ik een boete krijgen als ik nog niet klaar ben op 15 augustus?
De toezichthouder (RDI) hanteert een redelijke termijn, maar negeer de wet niet. Begin nú met voorbereiden. Wie kan aantonen dat hij stappen zet en een plan heeft, staat sterker dan wie helemaal niets doet.
Mijn hostingprovider regelt de beveiliging toch wel?
Gedeeltelijk. De verantwoordelijkheid voor de beveiliging van jouw systemen en data blijft bij jou liggen. Een goede hostingpartner kan je wel ontzorgen door beveiligingsmaatregelen als DDoS-mitigatie, backups en monitoring standaard aan te bieden.
Is Retslav zelf compliant met de Cyberbeveiligingswet?
Ja. Retslav voldoet aan de eisen van de Cbw voor digitale aanbieders, met always-on DDoS-bescherming, geïsoleerde hostingomgevingen, geteste backups, en volledige logging en monitoring.
7. Aan de slag voor 15 augustus
De Cyberbeveiligingswet is geen ver-van-je-bed-show. Met nog vijf weken tot de deadline is het tijd om in actie te komen.
Drie dingen die je vandaag nog kunt doen:
- Check of jouw bedrijf onder de wet valt — gebruik de zelfevaluatie op www.digitaleoverheid.nl
- Voer een snelle risicoanalyse uit — welke systemen zijn kwetsbaar? Heb je DDoS-bescherming? Zijn je backups getest?
- Neem contact op met Retslav — wij helpen je met een compliant hostingomgeving, inclusief DDoS-bescherming, backups en monitoring.
🚀 Start vandaag met Retslav
Geen dure consultants, gewoon werkende technologie. DDoS-bescherming, backups en monitoring in één pakket — vanaf €5/maand.
👉 Bekijk onze productenHeb je vragen over de Cyberbeveiligingswet en wat dit betekent voor jouw hosting? Ons team staat klaar om je te helpen. Neem contact op via het Retslav Portal of mail naar [email protected].