De Cyberbeveiligingswet (Cbw) staat voor de deur en brengt nieuwe verplichtingen met zich mee. Maar wat betekent deze wet concreet voor IT-resellers die cybersecurity-oplossingen verkopen en beheren voor hun klanten?
Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. De wet verplicht organisaties in sectoren die als ‘essentieel’ of ‘belangrijk’ worden aangemerkt – zoals energie, transport, zorg, financiën en digitale infrastructuur, om aantoonbaar werk te maken van hun cyberbeveiliging. Denk aan een zorgplicht voor risicobeheer, meldplicht bij incidenten en bestuurlijke verantwoordelijkheid.
Wat betekent dit voor organisaties in het algemeen?
Organisaties die onder de Cbw vallen, zijn verplicht om passende technische en organisatorische maatregelen te treffen om cyberrisico’s te beheersen. Concreet betekent dit onder meer dat cybersecurityrisico’s moeten worden geïnventariseerd en, waar nodig, gemitigeerd, dat voor specifieke onderwerpen beleid wordt opgesteld en dat contracten opnieuw worden beoordeeld. Daarnaast moeten significante incidenten tijdig worden gemeld, dient de organisatie zich te registreren en moeten bestuurders een training volgen. Van bestuurders wordt bovendien verwacht dat zij proactief cyberrisico’s beoordelen en monitoren. Bestuurders zijn daarbij persoonlijk aanspreekbaar en organisaties kunnen bij nalatigheid beboet worden. Kortom: cybersecurity is niet langer een IT-kwestie, maar een bestuursverantwoordelijkheid.
Wat betekent dit specifiek voor IT-resellers?
1. Jullie klanten moeten voldoen, en rekenen op jullie
Veel van de organisaties die onder de Cbw vallen, zijn klant bij IT-resellers. Zij verwachten dat hun leverancier hen helpt aan de vereiste beveiligingsmaatregelen te voldoen. Als reseller ben je daarmee een cruciale schakel in de compliance-keten van je klant.
2. Leveranciersrisico’s worden zwaarder getoetst
De Cbw verplicht organisaties om ook de risico’s van hun toeleveringsketen te beheersen. Dat betekent dat klanten hun IT-leveranciers, dus jij als reseller, kritischer gaan beoordelen op beveiligingsniveau, contractuele afspraken en incidentrespons. Naar verwachting zul je over dit soort onderwerpen dus meer vragen krijgen en ook contractueel zal e.e.a. worden aangescherpt.
3. Contracten en SLA’s moeten op orde zijn
Als je als reseller IT-diensten levert die effect kunnen hebben op de beveiliging van netwerk- en informatiesystemen van je klanten (zoals managed security services) levert, is het essentieel dat contracten en SLA’s aansluiten op de eisen van de Cbw. Denk aan heldere afspraken over meldplichten, verantwoordelijkheden bij incidenten en dataverwerking.
4. Jijzelf kunt ook onder de wet vallen
Afhankelijk van jouw dienstverlening – bijvoorbeeld als managed service provider of aanbieder van digitale diensten, kun je zelf ook als ‘belangrijke entiteit’ worden aangemerkt en direct onder de Cbw vallen. Lees er hier meer over.
Meer weten? Kom 10 juni naar Cybersecurity Live 2026!
Op Cybersecurity Live 2026, woensdag 10 juni in Hilversum, verzorgt Michelle Wijnant, advocaat bij De Clercq Advocaten Notariaat, een heldere presentatie over wat de Cyberbeveiligingswet concreet betekent voor IT-resellers en hun klanten. Meld je nu aan voor Cybersecurity Live 2026.