Inhoudsopgave
Voor wie geldt de Cyberbeveiligingswet? Stap 1: Bepaal of je organisatie onder de wet valt Stap 2: Voer een nulmeting uit met een security scan Stap 3: Implementeer DDoS-bescherming Stap 4: Stel een incident-response-plan op Stap 5: Borg cybersecurity in je bedrijfsvoering Conclusie: 5 weken is genoeg voor de basisVoor wie geldt de Cyberbeveiligingswet?
De wet geldt voor organisaties in 18 sectoren, waaronder:
- Energie, vervoer en water
- Digitale infrastructuur (hosting, cloud, DNS)
- Financiële instellingen
- Gezondheidszorg
- Overheid en publieke diensten
- Productie en distributie van chemicaliën
Val je hier niet direct onder? Let dan op het keteneffect: als jij leverancier bent van een organisatie die wél onder de wet valt, dan moet jij óók aan specifieke veiligheidseisen voldoen. Veel MKB-bedrijven worden via deze route alsnog geraakt.
De drie hoofdverplichtingen zijn:
- Zorgplicht — passende technische en organisatorische maatregelen nemen
- Meldplicht — significante incidenten binnen 24 uur melden bij het NCSC
- Registratieplicht — je organisatie registreren bij het NCSC
Stap 1: Bepaal of je organisatie onder de wet valt (week 1)
Dit is de snelste stap. Check of jouw bedrijf actief is in een van de 18 sectoren én of je meer dan 50 medewerkers hebt of een jaaromzet van meer dan €10 miljoen. Voor sommige sectoren (zoals hosting en digitale infrastructuur) geldt de wet ongeacht de grootte.
Praktische actie: Loop de sectorlijst op de website van het NCSC door. Ben je onzeker? Neem dan het zekere voor het onzekere — de boetes voor niet-naleven kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet.
Stap 2: Voer een nulmeting uit met een security scan (week 1-2)
Voordat je maatregelen kunt treffen, moet je weten waar je staat. Een security scan geeft je inzicht in:
- Openstaande poorten en kwetsbaarheden
- Verouderde software en ontbrekende patches
- Of je website of server gevoelig is voor veelvoorkomende aanvallen
- Of je DDoS-bescherming nodig hebt (en hoe dringend)
Retslav biedt een gratis security scan — geen registratie nodig, gewoon naar retslav.net/scan en binnen een paar minuten krijg je een rapport met concrete bevindingen. Dit is exact het soort nulmeting dat toezichthouders verwachten als onderbouwing van je risico-analyse.
💡 Tip: voer de scan uit op álle publieke IP-adressen en domeinen van je organisatie. Vergeet ook je API's en subdomeinen niet.
Stap 3: Implementeer DDoS-bescherming (week 2-3)
DDoS-aanvallen (distributed denial-of-service) zijn een van de meest voorkomende bedreigingen voor MKB-bedrijven. Het NBIP/NaWas-trendrapport over Q1 2026 laat een stijging van 42% zien in het aantal gemitigeerde aanvallen. L7 HTTP-request floods — aanvallen die gericht zijn op de applicatielaag — vormen 53% van alle incidenten.
De Cyberbeveiligingswet vereist dat je "passende technische maatregelen" neemt. Voor de meeste organisaties valt DDoS-bescherming daar zonder meer onder.
Wat heb je nodig?
- Altijd-aan filtering — niet pas inschakelen als de aanval al bezig is
- L4- én L7-bescherming — tegen zowel volumineuze netwerk-aanvallen als slimme applicatie-aanvallen
- Nederlandse datacenters — voor lage latency en naleving van Nederlandse wetgeving
Retslav biedt DDoS-bescherming met altijd-aan L4/L7-filtering, Nederlands datacenter (Amsterdam en Brussel) en een 99,99% SLA. De prijzen beginnen bij €49/maand voor basisbescherming (500 Gbps mitigatie) — een fractie van wat grotere partijen als KPN of CyberBase rekenen.
Stap 4: Stel een incident-response-plan op (week 3-4)
Een incident-response-plan is niet alleen een verplichting onder de wet, het is ook je reddingslijn als het misgaat. Toezichthouders willen zien dat je:
- Een duidelijk proces hebt voor het detecteren van incidenten
- Wéét wat je moet doen in het eerste uur na een aanval
- Incidenten kunt rapporteren binnen 24 uur
- Herstelprocedures hebt gedocumenteerd
Minimaal document:
- Wie is het aanspreekpunt bij een incident?
- Hoe wordt een incident gedetecteerd? (monitoring, alerts, klantmeldingen)
- Wat is het escalatiepad?
- Hoe wordt een incident geregistreerd en gemeld?
- Wat is de herstelprocedure per type aanval?
Maak het simpel: één A4'tje met rollen, contactpersonen en stappen — dat is beter dan een lijvig document dat in de la verdwijnt.
Stap 5: Borg cybersecurity in je bedrijfsvoering (week 4-5)
De wet vereist dat cybersecurity niet incidenteel is, maar structureel geborgd wordt in je bedrijfsvoering. Dit betekent:
- Periodieke scans — minimaal maandelijks een security check
- Patchmanagement — een proces voor het tijdig updaten van software
- Medewerkersbewustzijn — basiskennis over phishing, wachtwoordhygiëne en veilig gedrag
- Leveranciersmanagement — weet wie toegang heeft tot je systemen en of zíj ook compliant zijn
Retslav's DDoS-bescherming is een "set-and-forget"-oplossing die 24/7 actief is, maar voor de andere punten kun je een eenvoudig schema opstellen: elke eerste maandag van de maand voer je een scan uit, elke kwartaal doe je een patch-ronde.
Conclusie: 5 weken is genoeg voor de basis
Je hoeft geen NIS2-expert te zijn om compliant te worden. De kern is: weet wat je hebt, bescherm wat kwetsbaar is, en documenteer wat je doet.
De vijf stappen samengevat:
| Stap | Actie | Tijdsinvestering |
|---|---|---|
| 1 | Check of de wet voor jou geldt | 1 uur |
| 2 | Gratis security scan uitvoeren | 15 minuten |
| 3 | DDoS-bescherming implementeren | 1 dag (eenmalig) |
| 4 | Incident-response-plan schrijven | 2-3 uur |
| 5 | Structureel borgen in bedrijfsvoering | Doorlopend |
Begin vandaag nog met stap 1 en 2 — die zijn gratis en geven je direct inzicht in waar je staat. Ga naar retslav.net/scan voor je gratis security scan, of bekijk de DDoS-beschermingspakketten op retslav.net/pricing.html.
Vragen? Neem contact op via [email protected] — we helpen je graag op weg naar een veiligere, NIS2-proof bedrijfsvoering.
🛡️ Retslav — Your Digital Shield
Nederlandse DDoS-bescherming, webhosting en game server hosting, met datacenters in Amsterdam en Brussel.
👉 Bekijk productenTest je eigen server met een gratis scan op retslav.net/scan.