Naar verwachting treedt op 1 juli 2026 de Cyberbeveiligingswet in werking, de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet introduceert cyberbeveiligingsverplichtingen voor zogenoemde essentiële en belangrijke entiteiten: voornamelijk middelgrote en grote organisaties in aangewezen sectoren, zoals energie, vervoer, gezondheidszorg, digitale infrastructuur en bepaalde industriële sectoren. Voor micro- en kleine ondernemingen geldt de wet in beginsel niet rechtstreeks, behoudens specifieke uitzonderingen.
Toch zal de Cyberbeveiligingswet naar verwachting ook voor veel mkb-ondernemingen merkbaar worden. Dat komt door de doorwerking via de toeleveringsketen.
Wat speelt er concreet?
Organisaties die onder de Cyberbeveiligingswet vallen, moeten passende en evenredige maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Daarbij moeten zij ook aandacht besteden aan de beveiliging van hun rechtstreekse leveranciers en dienstverleners. Hierbij gaat het volgens de letter van de wet alleen om de processen die te maken hebben met die dienstverlening. Maar alleen al het verzenden van een document via de email, zal betekenen dat een veeltal van systemen bij de dienstverlener hieronder zullen vallen. Denk bijvoorbeeld aan de laptop, de email omgeving en de internet verbinding.
In de praktijk betekent dit dat MKB-bedrijven die leveren aan organisaties die onder de Cyberbeveiligingswet vallen – bijvoorbeeld omdat zij toeleverancier of dienstverlener zijn – steeds vaker vragenlijsten, auditclausules, beveiligingsverklaringen en aanvullende contractbijlagen toegestuurd zullen krijgen.
Deze documenten zijn in de praktijk niet altijd toegesneden op de concrete relatie tussen partijen. Zij kunnen (technologische) verplichtingen bevatten die verder gaan dan nodig is voor de feitelijke dienst of die voor een mkb-onderneming praktisch niet haalbaar zijn.
Het advies aan uw mkb-cliënten: teken dergelijke documenten niet klakkeloos. Een MKB’er die akkoord gaat met een breed geformuleerd cyberbeveiligingsniveau, neemt daarmee contractuele verplichtingen op zich. Als later blijkt dat daaraan niet wordt voldaan, kan dat leiden tot discussie, herstelverplichtingen of mogelijke contractuele aansprakelijkheid.
