033 200 30 83
Tweede Kamer stemt in met Cyberbeveiligingswet: waarom organisaties nu in beweging moeten komen
De Tweede Kamer heeft op 15 april 2026 ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten. Daarmee is een belangrijke volgende stap gezet in de Nederlandse implementatie van de Europese NIS2-richtlijn. De Cyberbeveiligingswet vervangt straks de huidige Wet beveiliging netwerk- en informatiesystemen en verankert onder meer de zorgplicht, meldplicht en registratieplicht voor een veel grotere groep organisaties dan nu het geval is. Volgens het NCSC zal het toepassingsbereik groeien naar ruim 8.000 organisaties.
Voor veel organisaties is dit geen ver-van-mijn-bed-show meer. De wetsvoorstellen gaan nu door naar de Eerste Kamer. De beoogde planning blijft dat de wet in het tweede kwartaal van 2026 in werking treedt, al is dat nog afhankelijk van het tempo van de parlementaire afronding. Tegelijk werkt de overheid verder aan het Cyberbeveiligingsbesluit en aanvullende ministeriële regelingen, waarin onderdelen van de zorgplicht en de sectorspecifieke uitwerking nader worden ingevuld.
De kernboodschap voor bestuurders en compliance teams is helder: wacht niet op de formele inwerkingtreding. De Rijksoverheid adviseert organisaties expliciet om nu al te beoordelen of zij onder de Cyberbeveiligingswet gaan vallen en alvast te starten met voorbereidingen. Veel organisaties vallen namelijk “van rechtswege” onder de wet en zijn zelf verantwoordelijk om vast te stellen of zij binnen scope zijn. Daarbij wordt niet alleen gekeken naar de sector, maar vaak ook naar omvangscriteria zoals aantal medewerkers, omzet en balanstotaal. Voor sommige categorieën, zoals bepaalde aanbieders van elektronische communicatiediensten, vertrouwensdiensten en overheidsorganisaties, geldt die omvangstoets niet of anders.
Wat betekent dit concreet?
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen in elk geval te maken met drie vaste pijlers.
- Ten eerste de registratieplicht: relevante entiteiten moeten zich registreren in het entiteitenregister.
- Ten tweede de zorgplicht: zij moeten passende en evenredige technische, operationele en organisatorische maatregelen treffen om risico’s voor netwerk- en informatiesystemen te beheersen.
- Ten derde de meldplicht: significante incidenten moeten volgens een strak wettelijk proces worden gemeld, met onder meer een vroegtijdige waarschuwing binnen 24 uur, een verdere melding binnen 72 uur en een eindverslag binnen een maand.
Voor privacyprofessionals is dit extra relevant omdat cyberweerbaarheid en gegevensbescherming in de praktijk nauw verweven zijn. Een ernstig beveiligingsincident raakt zelden alleen de beschikbaarheid van systemen; vaak zijn ook vertrouwelijkheid en integriteit van persoonsgegevens in het geding. Juist daarom moeten organisaties voorkomen dat NIS2 uitsluitend als een security- of IT-project wordt behandeld. Governance, incidentrespons, leveranciersmanagement, documentatie, accountability en bestuursbetrokkenheid raken direct aan bekende AVG-thema’s. Een volwassen aanpak vraagt dus om samenwerking tussen CISO, privacy officer, FG, legal, risk en business. De overheid benadrukt bovendien dat onderdelen van de zorgplicht mede zien op risicoanalyse, incidentbehandeling en bedrijfscontinuïteit.
Daar komt bij dat de Nederlandse implementatie al geruime tijd achterloopt op de Europese deadline. Lidstaten moesten de NIS2-richtlijn uiterlijk op 17 oktober 2024 hebben omgezet in nationale wetgeving. Dat betekent dat organisaties zich niet rijk moeten rekenen met uitstel: de richting is al lang duidelijk, en toezichthouders zullen straks vooral kijken of organisaties aantoonbaar serieus werk hebben gemaakt van hun voorbereiding.
Onze aanbeveling is daarom: gebruik deze tussenfase verstandig. Breng eerst in kaart of uw organisatie onder de Cyberbeveiligingswet valt. Toets vervolgens of bestaande governance, risicoanalyses, incidentprocessen, contracten met leveranciers en interne escalatielijnen aansluiten op de komende verplichtingen. Organisaties die nu starten, verkleinen niet alleen hun compliancerisico, maar versterken ook direct hun operationele weerbaarheid en hun vermogen om datalekken en verstoringen beheerst op te vangen.