Nederland zet een grote stap in het versterken van de digitale en fysieke weerbaarheid van bedrijven en organisaties. De Eerste Kamer heeft ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten treden op 15 augustus 2026 in werking en vormen de Nederlandse uitwerking van de Europese NIS2- en CER-richtlijnen.
Voor duizenden organisaties betekent dit dat cybersecurity niet langer uitsluitend een onderwerp voor de IT-afdeling is. Het wordt een expliciete verantwoordelijkheid van bestuurders.
Waarom komen de Cbw en Wwke?
Nederland digitaliseert in hoog tempo. Vrijwel iedere organisatie is afhankelijk van IT-systemen, cloudplatformen en digitale ketens. Tegelijkertijd neemt het aantal cyberaanvallen, ransomware-incidenten, sabotageacties en geopolitieke dreigingen sterk toe.
Een succesvolle aanval op één organisatie kan inmiddels grote gevolgen hebben voor de gehele samenleving. Denk aan uitval van:
- energievoorziening;
- zorginstellingen;
- logistiek;
- telecom;
- drinkwater;
- financiële dienstverlening;
- overheidsdiensten.
Daarom heeft de Europese Unie de NIS2-richtlijn en de CER-richtlijn opgesteld. Het doel is om de weerbaarheid van lidstaten te vergroten en ervoor te zorgen dat essentiële diensten ook tijdens incidenten beschikbaar blijven. Nederland voert deze richtlijnen nu in via twee nieuwe wetten.
Twee wetten, ieder met een eigen doel
Hoewel beide wetten vaak samen worden genoemd, richten ze zich op verschillende risico’s.
Cyberbeveiligingswet (Cbw)
De Cyberbeveiligingswet richt zich op digitale veiligheid.
De wet verplicht organisaties om hun IT-omgeving aantoonbaar beter te beveiligen tegen cyberdreigingen zoals:
- ransomware;
- phishing;
- datalekken;
- sabotage;
- aanvallen op leveranciers.
Naar verwachting vallen ruim 8.000 Nederlandse organisaties onder deze wet. Organisaties moeten zelf beoordelen of zij onder de wet vallen.
Wet weerbaarheid kritieke entiteiten (Wwke)
De Wet weerbaarheid kritieke entiteiten kijkt breder dan alleen cyber.
Deze wet richt zich op organisaties die essentieel zijn voor de maatschappij en beschermt tegen onder andere:
- sabotage;
- terrorisme;
- langdurige stroomuitval;
- natuurrampen;
- fysieke verstoringen.
Niet iedere organisatie valt automatisch onder deze wet. Bedrijven worden hiervoor door de verantwoordelijke minister officieel aangewezen als “kritieke entiteit”.
Wat verandert er concreet met de komst van de Cyberbeveiligingswet?
Voor organisaties die onder de Cyberbeveiligingswet vallen, gelden straks onder meer de volgende verplichtingen.
1. Cybersecurity wordt een bestuursverantwoordelijkheid
Bestuurders moeten aantoonbaar betrokken zijn bij cybersecurity.
Dat betekent onder andere:
- kennis hebben van cyberrisico’s;
- beveiligingsmaatregelen goedkeuren;
- toezicht houden op naleving;
- verantwoordelijkheid nemen voor incidenten.
Cybersecurity wordt daarmee een vast onderdeel van goed bestuur en risicomanagement.
2. Wettelijke zorgplicht
Organisaties moeten passende technische, organisatorische en operationele beveiligingsmaatregelen treffen.
Denk aan:
- multi-factor authenticatie;
- netwerksegmentatie;
- back-up- en herstelprocedures;
- monitoring;
- patchmanagement;
- toegangsbeheer;
- awareness-trainingen.
De maatregelen moeten aantoonbaar aansluiten bij de risico’s van de organisatie.
3. Meldplicht bij ernstige incidenten
Bij significante cyberincidenten ontstaat een wettelijke meldplicht.
Organisaties moeten ernstige incidenten binnen de gestelde termijnen melden aan de bevoegde autoriteiten en waar nodig aanvullende rapportages indienen. Daarmee kunnen dreigingen sneller worden gedeeld en verdere schade worden beperkt.
4. Leveranciers worden onderdeel van de beveiliging
Een belangrijk nieuw onderdeel is de beveiliging van de toeleveranciersketen.
Bedrijven moeten niet alleen hun eigen beveiliging op orde hebben, maar ook beoordelen welke risico’s leveranciers en IT-partners vormen.
Hierdoor zullen veel leveranciers vragen krijgen over bijvoorbeeld:
- ISO 27001;
- SOC-rapportages;
- beveiligingsbeleid;
- incidentprocedures;
- continuïteitsplannen.
Ook organisaties die zelf niet onder de wet vallen, kunnen hierdoor indirect met strengere eisen worden geconfronteerd.
5. Registratie bij het NCSC
Organisaties die onder de Cyberbeveiligingswet vallen moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC), zodat zij kunnen deelnemen aan informatie-uitwisseling over dreigingen en incidenten.
Wat moeten organisaties nu al doen?
De overheid adviseert nadrukkelijk om niet te wachten tot de wet officieel van kracht is.
Bestuurders doen er verstandig aan om nu al de volgende stappen te zetten:
- bepaal of de organisatie onder de Cyberbeveiligingswet valt;
- voer een eerste cyberrisicoanalyse uit;
- inventariseer bestaande beveiligingsmaatregelen;
- bespreek cyberrisico’s in het managementteam of de directie;
- stel een verbeterplan op;
- controleer de beveiliging van leveranciers;
- bereid de registratie bij het NCSC voor;
- zorg dat bestuurders voldoende kennis hebben van cybersecurity.
Ook organisaties buiten de wet merken de gevolgen
Veel mkb-bedrijven denken dat de nieuwe wet niet voor hen geldt. Dat klopt vaak, maar indirect zullen zij de gevolgen wel degelijk merken. Steeds meer klanten zullen namelijk eisen stellen aan de digitale beveiliging van hun leveranciers. Denk aan vragen over:
- informatiebeveiligingsbeleid;
- MFA;
- back-ups;
- incidentrespons;
- certificeringen;
- penetratietesten.
Goede cybersecurity wordt daarmee steeds vaker een voorwaarde om zaken te kunnen blijven doen.
Meer dan compliance
De nieuwe wetgeving draait uiteindelijk niet om het afvinken van regels. Het doel is om Nederland weerbaarder te maken tegen digitale en fysieke ontwrichting. Een cyberaanval op één organisatie kan immers een domino-effect veroorzaken in complete ketens of vitale sectoren. Door cybersecurity en weerbaarheid structureel onderdeel te maken van bestuur, bedrijfsvoering en samenwerking in de keten, wil de overheid de kans op maatschappelijke ontwrichting aanzienlijk verkleinen.
van IT-thema naar bestuurskamer
Met de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten op 15 augustus 2026 verandert cybersecurity definitief van een IT-thema naar een strategisch bestuursonderwerp. Voor organisaties die onder de wet vallen is voorbereiding geen keuze meer, maar een wettelijke verplichting. Ook bedrijven die niet rechtstreeks onder de wet vallen doen er verstandig aan hun digitale weerbaarheid te versterken. Klanten, ketenpartners en toezichthouders zullen steeds vaker aantoonbare beveiligingsmaatregelen verlangen. De boodschap van de overheid is daarom helder: begin vandaag met voorbereiden, niet op 15 augustus.
Meer informatie op de site van de Rijksoverheid: Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten vanaf 15 augustus 2026 van kracht | Rijksoverheid.nl









