Cyberbeveiligingswet vanaf 15 augustus van kracht

8 juli 2026

De Eerste Kamer heeft op 7 juli 2026 de Cyberbeveiligingswet (“Cbw“) aangenomen. Met deze wet wordt de Europese cyberbeveiligingsrichtlijn NIS2 geïmplementeerd. De Cbw wordt op 15 augustus 2026 van kracht.

Door de toenemende digitalisering en het groeiende aantal cyberaanvallen heeft de Europese Unie eind 2022 de NIS2-richtlijn aangenomen. Deze richtlijn vervangt de eerdere Europese regels voor cybersecurity en scherpt deze flink aan. Het doel is om de digitale weerbaarheid in Europa te verhogen. Dit gebeurt onder meer door meer sectoren onder de regels te brengen, strengere beveiligingseisen te stellen, de beveiliging van toeleveringsketens te verbeteren, meldingsverplichtingen te stroomlijnen en het toezicht te verscherpen.

Cyberbeveiligingswetgeving: 3 lagen regelgeving

De nieuwe wetgeving op het gebied van cyberbeveiliging bestaat uit drie lagen. De eerste laag is de Cyberbeveiligingswet zelf, die het wettelijke kader vormt. De tweede laag is het Cyberbeveiligingsbesluit (“Cbb“) dat de verplichtingen uit de Cbw nader uitwerkt, bijvoorbeeld op het gebied van risicobeheersing, registratie en de opleidingsplicht voor bestuurders. De Cbb geldt voor alle sectoren en de concepten hiervan zijn ter consultatie gepubliceerd. Het Cbb zal gelijktijdig met de Cbw in werking treden. De derde laag bestaat uit ministeriële regelingen, die door de relevante Minister per sector zullen worden vastgesteld en de verplichtingen verder concretiseren, bijvoorbeeld over wanneer een cyberincident gemeld moet worden.

Voor organisaties die essentiële diensten verlenen (zoals energie, zorg, vervoer, banken – zie hieronder) bevat de tegelijk met de Cbw aangekomen Wet weerbaarheid kritieke entiteiten (Wwke) aanvullende verplichtingen. De Wwke heeft als doel de fysieke weerbaarheid van deze organisaties tegen dreigingen zoals sabotage, terrorisme en natuurrampen te verbeteren.

Toepassingsgebied

De Cbw geldt voor organisaties in bepaalde sectoren. De wet onderscheidt twee categorieën.

  • De eerste categorie omvat sectoren die als zeer kritiek worden beschouwd, zoals energie, transport, bankwezen, gezondheidszorg, drinkwater, beheerders van ICT-diensten en digitale infrastructuur.
  • De tweede categorie omvat andere kritieke sectoren, zoals post- en koeriersdiensten, afvalverwerking, voedselproductie, maakindustrie en digitale aanbieders.

Niet iedere organisatie in deze sectoren valt automatisch onder de wet. Er geldt een minimumomvang: een organisatie moet ten minste 50 werknemers hebben én een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Grotere organisaties — met meer dan 250 werknemers of een jaaromzet boven 50 miljoen euro — worden in zeer kritieke sectoren aangemerkt als ‘essentiële entiteit’ en in andere kritieke sectoren als ‘belangrijke entiteit’. Middelgrote organisaties – met minstens 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro – vallen doorgaans in de categorie ‘belangrijke entiteit’. Het verschil is relevant: voor essentiële entiteiten gelden hogere boetes en zwaarder toezicht. Er zal proactief toezicht worden gehouden op essentiële entiteiten, wat inhoudt dat zij op naleving gecontroleerd kunnen worden zonder dat er incidenten hebben plaatsgevonden. Het toezicht op belangrijke entiteiten is in beginsel reactief van aard, wat inhoudt dat deze controle achteraf plaatsvindt, bijvoorbeeld na een incident of in het geval van informatie die duidt op niet-naleving.

Op deze hoofdregel bestaan uitzonderingen. Sommige organisaties vallen altijd onder de wet, ongeacht hun omvang. Dat geldt bijvoorbeeld voor aanbieders van digitale vertrouwensdiensten (zoals digitale handtekeningen), bepaalde internetdienstverleners en overheidsinstanties. Ook kleinere aanbieders van telecomnetwerken- en diensten kunnen onder de wet vallen, zelfs als zij de drempel van 50 werknemers niet halen.

Daarnaast kan de verantwoordelijke vakminister voor zijn/haar specifieke vakgebied een individuele organisatie aanwijzen als essentiële entiteit, ook als die organisatie niet automatisch onder de wet valt. Dat kan bijvoorbeeld als de organisatie de enige aanbieder van een essentiële dienst is, als uitval van haar diensten ernstige gevolgen kan hebben voor de openbare veiligheid of volksgezondheid, of als de organisatie om andere redenen van groot belang is. De Minister van Onderwijs, Cultuur en Wetenschap heeft aangekondigd alle hoger onderwijsinstellingen als belangrijke entiteiten aan te zullen wijzen. Tot slot zijn bepaalde organisaties juist uitgezonderd van de wet, zoals Defensie, de Inlichtingen- en Veiligheidsdiensten, het Openbaar Ministerie en de Politie.

Kernverplichtingen

De Cbw legt essentiële en belangrijke entiteiten drie kernverplichtingen op:

  • Registratieplicht: organisaties moeten zichzelf registreren in een nationaal register. In Nederland dienen zij zich bij het Nationaal Cyber Security Centrum (NCSC) te registreren in het entiteitenregister.
  • Zorgplicht: organisaties moeten de risico’s voor hun digitale systemen in kaart brengen en passende maatregelen treffen om die risico’s te beheersen. Dat geldt niet alleen voor de digitale omgeving, maar ook voor de fysieke omgeving waarin de systemen zich bevinden. Voorbeelden van maatregelen zijn: beleid voor risicoanalyse en informatiebeveiliging, maatregelen voor bedrijfscontinuïteit (zoals back-ups en noodherstelplannen) en beveiliging van de toeleveringsketen.
  • Meldplicht: organisaties zijn verplicht om significante cyberincidenten melden bij de toezichthouder in hun sector en het NCSC. Een incident geldt als significant als: het een ernstige operationele verstoring van de diensten of financiële verliezen veroorzaakt of kan veroorzaken; of als het andere personen of organisaties raakt of kan raken door aanzienlijke materiële of immateriële schade te veroorzaken. Er geldt een gefaseerde meldplicht vanaf het moment dat een organisatie bekend wordt met het incident. Allereerst dient er binnen 24 uur een vroegtijdige waarschuwing te worden gedaan aan hun computer security incident response team (CSIRT) en de relevante sector-toezichthouder. Vervolgens dient binnen 72 uur een initiële melding te worden gedaan.

Uiterlijk binnen één maand dient het eindrapport te worden ingediend, waarbij in ieder geval de volgende onderwerpen worden geadresseerd: een gedetailleerde beschrijving van het incident, met inbegrip van de ernst en de gevolgen ervan; (het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid; de toegepaste en lopende risicobeperkende maatregelen; en in voorkomend geval, de grensoverschrijdende gevolgen van het incident.

Verplichtingen voor bestuurders

Bestuurders van essentiële en belangrijke entiteiten zijn eindverantwoordelijk voor de naleving van de zorgplicht onder de Cbw. Zij moeten voldoende kennis en vaardigheden onderhouden om cyberrisico’s te kunnen herkennen en te beoordelen welke maatregelen nodig zijn, en kunnen aansprakelijk worden gesteld indien de organisatie haar zorgplicht onder de Cbw niet nakomt. Daarnaast zijn bestuurders verplicht om trainingen te volgen op het gebied van cybersecurity. Na afronding van deze trainingen moeten zij een certificaat van deelname kunnen overleggen. Volgens het concept Cbb moeten de trainingen in ieder geval de soorten risico’s voor netwerk- en informatiesystemen, risicomanagementprocessen en risicobeoordelingsmethodiek behandelen.
Weren van bepaalde producten en diensten van leveranciers

De Cbw geeft de verantwoordelijke vakminister binnen zijn eigen vakgebied de bevoegdheid om, na overleg met de Minister van Justitie en Veiligheid, essentiële en belangrijke entiteiten te verplichten bepaalde producten of diensten van specifieke leveranciers niet meer te gebruiken. Dit kan worden opgelegd als het nodig is om risico’s voor de nationale veiligheid te beheersen of te voorkomen. De minister kan daarbij ook een termijn stellen waarbinnen de entiteit bestaande producten en diensten moet vervangen of het gebruik ervan moet beëindigen. Deze bevoegdheid is als amendement aan de Cbw toegevoegd en gaat daarmee verder dan de NIS2-Richtlijn.

Weren van bepaalde producten en diensten van leveranciers

De Cbw geeft de verantwoordelijke vakminister binnen zijn eigen vakgebied de bevoegdheid om, na overleg met de Minister van Justitie en Veiligheid, essentiële en belangrijke entiteiten te verplichten bepaalde producten of diensten van specifieke leveranciers niet meer te gebruiken. Dit kan worden opgelegd als het nodig is om risico’s voor de nationale veiligheid te beheersen of te voorkomen. De minister kan daarbij ook een termijn stellen waarbinnen de entiteit bestaande producten en diensten moet vervangen of het gebruik ervan moet beëindigen. Deze bevoegdheid is als amendement aan de Cbw toegevoegd en gaat daarmee verder dan de NIS2-Richtlijn.

Toezicht en handhaving

De verantwoordelijkheid voor het toezicht op de naleving is verdeeld over verschillende toezichthouders. Hieronder vallen de Inspectie Leefomgeving en Transport (ILT), De Nederlandsche Bank (DNB), de Autoriteit Financiële Markten (AFM), de Inspectie Gezondheidszorg en Jeugd (IGJ), de Nederlandse Voedsel- en Warenautoriteit (NVWA), en de Rijksinspectie Digitale Infrastructuur (RDI).

Welke toezichthouder bevoegd is, hangt af van de (sub)sector waarbinnen een entiteit actief is. Zo is de Nederlandsche Bank (DNB) aangewezen als toezichthouder voor het bankwezen, houdt de Inspectie Gezondheidszorg en Jeugd (IGJ) toezicht op de zorgsector, en is de Nederlandse Voedsel- en Warenautoriteit (NVWA) verantwoordelijk voor de levensmiddelenindustrie.

Deze toezichthouders kunnen verschillende handhavingsinstrumenten inzetten om de naleving van de Cbw te waarborgen. Zo kunnen zij bij belangrijke entiteiten bijvoorbeeld beveiligingsscans en audits (laten) uitvoeren, en kunnen zij bij essentiële entiteiten bijvoorbeeld een controlefunctionaris aanwijzen en een verzoek tot schorsing van de certificering/vergunning of leden van het bestuur doen. Bijzondere bevoegdheden daarbij zijn verplichte beveiligingsscans en audits. Bij overtredingen kunnen de bevoegde autoriteiten maatregelen treffen, zoals bindende aanwijzingen, en bestuurlijke boetes opleggen. De maximale boetes voor essentiële entiteiten kunnen oplopen tot maximaal € 10 miljoen of 2% van de wereldwijde jaaromzet (als dat hoger is), en voor belangrijke entiteiten tot maximaal € 7 miljoen of 1,4% van de wereldwijde jaaromzet (als dat hoger is).

Volgende stappen

De Cbw is inmiddels aangenomen door de Eerste Kamer en treedt op 15 augustus 2026 in werking. Er is geen algemene overgangstermijn: de verplichtingen gelden direct zodra de wet ingaat. Alleen instellingen in het hoger onderwijs krijgen een overgangstermijn van drie jaar.

Bedrijven wordt aanbevolen om nu alvast te controleren of de Cbw op hen van toepassing is, en zo ja, tijdig te starten met de implementatie van de Cbw.

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.