Op 7 juli 2026 stemde de Eerste Kamer definitief in met de Cyberbeveiligingswet, zonder overgangstermijn en met inwerkingtreding op 15 augustus 2026. Ruim 8.000 organisaties in Nederland krijgen vanaf die dag te maken met nieuwe verplichtingen op het gebied van cyberbeveiliging, en er is kans dat jouw kantoor daarbij hoort. Reden genoeg om die vraag niet aan het toeval over te laten, en eerst scherp te krijgen wat de nieuwe wet is en waar jouw kantoor precies staat.

Wat er inhoudelijk verandert: van beleid naar bewijs

Onder de Cbw krijgt jouw kantoor te maken met een aantal verplichtingen die verder gaan dan onder de oude Wbni:

  • Zorgplicht: je moet maatregelen nemen om risico’s voor je netwerk- en informatiesystemen te beheersen, en incidenten te voorkomen of beperken.
  • Meldplicht: significante incidenten moet je binnen de wettelijke termijnen melden bij je CSIRT en de bevoegde autoriteit.
  • Bestuurlijke verantwoordelijkheid: het bestuur is eindverantwoordelijk voor cyberrisicobeheersing en moet aantoonbaar over voldoende kennis beschikken, onder meer via een passende training.

Het verschil met de oude situatie zit vooral in de aantoonbaarheid. Een beleid hebben is niet meer genoeg. Je moet kunnen laten zien dat de genomen maatregelen ook daadwerkelijk werken, en dat geldt evengoed voor de beveiliging van je toeleveringsketen. Een kwetsbaarheid bij een softwareleverancier of onderaannemer raakt dus direct jouw eigen verantwoording.

Meer lezen over de Cbw? Lees dan: Cyberbeveiligingswet en accountants: Wat verandert er straks voor jouw kantoor?

‘Val ik eigenlijk wel onder de Cbw?’

Voordat je in actie komt, is het goed om nog even stil te staan bij de vraag of jouw kantoor daadwerkelijk onder de Cyberbeveiligingswet valt. De wet implementeert de Europese NIS2-richtlijn en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen. De wet richt zich op organisaties die als essentiële of belangrijke entiteit worden aangemerkt, verspreid over achttien sectoren. Het is je eigen verantwoordelijkheid om te kijken of je onder de wet valt.

Twijfel je? Gebruik dan de officiële zelfevaluatietool van de overheid om dit na te gaan. Maar ook als je kantoor niet direct onder de wet valt, is achteroverleunen niet verstandig. De ketenverplichtingen die in de Cbw zijn vastgelegd, werken namelijk door naar leveranciers en samenwerkingspartners die zelf geen essentiële of belangrijke entiteit zijn. Werk je voor klanten die wél onder de wet vallen, dan kun je alsnog vragen krijgen over hoe jouw kantoor met cybersecurity omgaat.

Registratie bij het NCSC: de eerste stap die nu al kan

Voor kantoren die onder de wet vallen, is registratie bij het Nationaal Cyber Security Centrum een van de eerste verplichte handelingen. Die registratie verloopt via mijn.ncsc.nl, en is niet iets wat je er in vijf minuten tussendoor doet zonder voorbereiding. De registratie vraagt namelijk zowel organisatiegegevens als netwerkgegevens uit, en dat betekent dat de informatie waarschijnlijk niet bij één persoon in het kantoor ligt. Denk aan de bestuurder die verantwoordelijk is voor de algehele koers, een IT-beveiligingsadviseur die de technische kant kent, of een netwerkbeheerder die precies weet hoe de systemen zijn ingericht.

Het goede nieuws is dat de daadwerkelijke registratie relatief snel gaat zodra je die gegevens hebt verzameld: reken op ongeveer tien minuten werk. De verleiding om dit uit te stellen tot vlak voor 15 augustus is groot, maar bedenk dat je dan niet de enige bent. Duizenden andere organisaties staan voor exact dezelfde deadline, en een systeem dat in de laatste week moet verwerken wat eigenlijk verspreid over weken had gekund, is nu eenmaal kwetsbaarder voor vertraging en gedoe. Begin dus liever nu, terwijl er nog rust is om het goed te doen.

Begin nu, wacht niet tot augustus

Het NCSC is hier opvallend direct over: wacht niet af, ga nu aan de slag. Begin nu al met je risicoanalyse en breng in kaart welke maatregelen je accountantskantoor al heeft getroffen om cyberrisico’s te beheersen. Doe dat meteen naast de voorbereiding van je registratie, zodat je op 15 augustus ook niet meer hoeft uit te zoeken wie binnen het kantoor, welke gegevens moet aanleveren. Wie deze twee taken nu al oppakt, hoeft in augustus alleen nog de puntjes op de i te zetten, in plaats van vanaf nul te beginnen onder tijdsdruk.

Grip houden op al deze losse eisen, van zorgplicht tot het overzichtelijk documenteren van genomen maatregelen, gaat een stuk makkelijker met een boekhoudprogramma dat je administratie en processen herleidbaar en overzichtelijk houdt. Zo bouw je niet alleen aan compliance, maar ook aan een kantoor dat aantoonbaar in controle is, richting toezichthouders én richting je eigen klanten. Bekijk hier wat Bjorn Lunden voor jou kan betekenen.