Avatar foto

Door: Peter Vos •
7 juli 2026

Nieuwe Cyberbeveiligingswet vanaf 15 augustus in werking

Nederland zet een grote stap in het versterken van de digitale en fysieke weerbaarheid van bedrijven en organisaties. De Eerste Kamer heeft ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Beide wetten treden op 15 augustus 2026 in werking en vormen de Nederlandse uitwerking van de Europese NIS2- en CER-richtlijnen.

Voor duizenden organisaties betekent dit dat cybersecurity niet langer uitsluitend een onderwerp voor de IT-afdeling is. Het wordt een expliciete verantwoordelijkheid van bestuurders.

Waarom komen de Cbw en Wwke?

Nederland digitaliseert in hoog tempo. Vrijwel iedere organisatie is afhankelijk van IT-systemen, cloudplatformen en digitale ketens. Tegelijkertijd neemt het aantal cyberaanvallen, ransomware-incidenten, sabotageacties en geopolitieke dreigingen sterk toe.

Een succesvolle aanval op één organisatie kan inmiddels grote gevolgen hebben voor de gehele samenleving. Denk aan uitval van:

  • energievoorziening;
  • zorginstellingen;
  • logistiek;
  • telecom;
  • drinkwater;
  • financiële dienstverlening;
  • overheidsdiensten.

Daarom heeft de Europese Unie de NIS2-richtlijn en de CER-richtlijn opgesteld. Het doel is om de weerbaarheid van lidstaten te vergroten en ervoor te zorgen dat essentiële diensten ook tijdens incidenten beschikbaar blijven. Nederland voert deze richtlijnen nu in via twee nieuwe wetten.

Twee wetten, ieder met een eigen doel

Hoewel beide wetten vaak samen worden genoemd, richten ze zich op verschillende risico’s.

Cyberbeveiligingswet (Cbw)

De Cyberbeveiligingswet richt zich op digitale veiligheid.

De wet verplicht organisaties om hun IT-omgeving aantoonbaar beter te beveiligen tegen cyberdreigingen zoals:

  • ransomware;
  • phishing;
  • datalekken;
  • sabotage;
  • aanvallen op leveranciers.

Naar verwachting vallen ruim 8.000 Nederlandse organisaties onder deze wet. Organisaties moeten zelf beoordelen of zij onder de wet vallen.

Wet weerbaarheid kritieke entiteiten (Wwke)

De Wet weerbaarheid kritieke entiteiten kijkt breder dan alleen cyber.

Deze wet richt zich op organisaties die essentieel zijn voor de maatschappij en beschermt tegen onder andere:

  • sabotage;
  • terrorisme;
  • langdurige stroomuitval;
  • natuurrampen;
  • fysieke verstoringen.

Niet iedere organisatie valt automatisch onder deze wet. Bedrijven worden hiervoor door de verantwoordelijke minister officieel aangewezen als “kritieke entiteit”.

Wat verandert er concreet met de komst van de Cyberbeveiligingswet?

Voor organisaties die onder de Cyberbeveiligingswet vallen, gelden straks onder meer de volgende verplichtingen.

1. Cybersecurity wordt een bestuursverantwoordelijkheid

Bestuurders moeten aantoonbaar betrokken zijn bij cybersecurity.

Dat betekent onder andere:

  • kennis hebben van cyberrisico’s;
  • beveiligingsmaatregelen goedkeuren;
  • toezicht houden op naleving;
  • verantwoordelijkheid nemen voor incidenten.

Cybersecurity wordt daarmee een vast onderdeel van goed bestuur en risicomanagement.

2. Wettelijke zorgplicht

Organisaties moeten passende technische, organisatorische en operationele beveiligingsmaatregelen treffen.

Denk aan:

  • multi-factor authenticatie;
  • netwerksegmentatie;
  • back-up- en herstelprocedures;
  • monitoring;
  • patchmanagement;
  • toegangsbeheer;
  • awareness-trainingen.

De maatregelen moeten aantoonbaar aansluiten bij de risico’s van de organisatie.

3. Meldplicht bij ernstige incidenten

Bij significante cyberincidenten ontstaat een wettelijke meldplicht.

Organisaties moeten ernstige incidenten binnen de gestelde termijnen melden aan de bevoegde autoriteiten en waar nodig aanvullende rapportages indienen. Daarmee kunnen dreigingen sneller worden gedeeld en verdere schade worden beperkt.

4. Leveranciers worden onderdeel van de beveiliging

Een belangrijk nieuw onderdeel is de beveiliging van de toeleveranciersketen.

Bedrijven moeten niet alleen hun eigen beveiliging op orde hebben, maar ook beoordelen welke risico’s leveranciers en IT-partners vormen.

Hierdoor zullen veel leveranciers vragen krijgen over bijvoorbeeld:

  • ISO 27001;
  • SOC-rapportages;
  • beveiligingsbeleid;
  • incidentprocedures;
  • continuïteitsplannen.

Ook organisaties die zelf niet onder de wet vallen, kunnen hierdoor indirect met strengere eisen worden geconfronteerd.

5. Registratie bij het NCSC

Organisaties die onder de Cyberbeveiligingswet vallen moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC), zodat zij kunnen deelnemen aan informatie-uitwisseling over dreigingen en incidenten.

Wat moeten organisaties nu al doen?

De overheid adviseert nadrukkelijk om niet te wachten tot de wet officieel van kracht is.

Bestuurders doen er verstandig aan om nu al de volgende stappen te zetten:

  • bepaal of de organisatie onder de Cyberbeveiligingswet valt;
  • voer een eerste cyberrisicoanalyse uit;
  • inventariseer bestaande beveiligingsmaatregelen;
  • bespreek cyberrisico’s in het managementteam of de directie;
  • stel een verbeterplan op;
  • controleer de beveiliging van leveranciers;
  • bereid de registratie bij het NCSC voor;
  • zorg dat bestuurders voldoende kennis hebben van cybersecurity.

Ook organisaties buiten de wet merken de gevolgen

Veel mkb-bedrijven denken dat de nieuwe wet niet voor hen geldt. Dat klopt vaak, maar indirect zullen zij de gevolgen wel degelijk merken. Steeds meer klanten zullen namelijk eisen stellen aan de digitale beveiliging van hun leveranciers. Denk aan vragen over:

  • informatiebeveiligingsbeleid;
  • MFA;
  • back-ups;
  • incidentrespons;
  • certificeringen;
  • penetratietesten.

Goede cybersecurity wordt daarmee steeds vaker een voorwaarde om zaken te kunnen blijven doen.

Meer dan compliance

De nieuwe wetgeving draait uiteindelijk niet om het afvinken van regels. Het doel is om Nederland weerbaarder te maken tegen digitale en fysieke ontwrichting. Een cyberaanval op één organisatie kan immers een domino-effect veroorzaken in complete ketens of vitale sectoren. Door cybersecurity en weerbaarheid structureel onderdeel te maken van bestuur, bedrijfsvoering en samenwerking in de keten, wil de overheid de kans op maatschappelijke ontwrichting aanzienlijk verkleinen.

van IT-thema naar bestuurskamer

Met de inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten op 15 augustus 2026 verandert cybersecurity definitief van een IT-thema naar een strategisch bestuursonderwerp. Voor organisaties die onder de wet vallen is voorbereiding geen keuze meer, maar een wettelijke verplichting. Ook bedrijven die niet rechtstreeks onder de wet vallen doen er verstandig aan hun digitale weerbaarheid te versterken. Klanten, ketenpartners en toezichthouders zullen steeds vaker aantoonbare beveiligingsmaatregelen verlangen. De boodschap van de overheid is daarom helder: begin vandaag met voorbereiden, niet op 15 augustus.

Meer informatie op de site van de Rijksoverheid: Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten vanaf 15 augustus 2026 van kracht | Rijksoverheid.nl

Deel dit artikel met anderen

Tags:

Roept dit artikel vragen of

interesse op? 

 

Plan dan gerust even een tijdstip in Cem zijn agenda. Hij helpt u heel graag verder.

 

Of laat het ons weten

Andere interessante artikelen

Microsoft past prijzen en inhoud van Microsoft 365-licenties aan

Microsoft past prijzen en inhoud van Microsoft 365-licenties aan

Per vandaag, 1 juli 2026, voert Microsoft wereldwijd wijzigingen door in de prijzen en inhoud van verschillende Microsoft 365- en Office 365-abonnementen voor zakelijke klanten. Daarnaast worden de komende maanden diverse nieuwe functionaliteiten toegevoegd aan een...

Help Lemontree ALS de wereld uit te trappen. Vandaag is de TourDuALS

Help Lemontree ALS de wereld uit te trappen. Vandaag is de TourDuALS

Vandaag staan honderden fietsers, wandelaars en hardlopers aan de voet van de Mont Ventoux. Niet voor een persoonlijk record. Niet voor een medaille. Maar voor iets veel groters: de strijd tegen ALS. Tijdens de Tour du ALS beklimmen deelnemers de legendarische "Kale...

Soevereiniteit is geen aan-uitknop

Soevereiniteit is geen aan-uitknop

Waarom bestuurders verder moeten kijken dan ‘data in Europa’ Door de geopolitieke spanningen tussen Europa, de Verenigde Staten, China en Rusland heeft een relatief technisch onderwerp zich ontwikkeld tot een bestuursvraagstuk. Digitale soevereiniteit staat inmiddels...

Lemontree twee keer genomineerd voor Computable Awards 2026

Lemontree twee keer genomineerd voor Computable Awards 2026

Supertrots zijn we nadat we afgelopen vrijdag hoorden dat we twee keer zijn genomineerd voor de Computable Awards 2026. Nou waren we al zo trots als een pauw op heel veel prachtige kantcases, maar het is natuurlijk altijd heel bijzonder als dit ook bij een autoriteit...