De Nederlandse implementatie van de NIS2-richtlijn komt in een stroomversnelling. De Tweede Kamer heeft afgelopen 15 april ingestemd met de Cyberbeveiligingswet (Cbw), die de Europese regels uit NIS2 omzet in nationaal recht. Tegelijkertijd is ook de Wet weerbaarheid kritieke entiteiten (Wwke) aangenomen, die zich richt op fysieke en organisatorische weerbaarheid van essentiële diensten.

Samen vormen deze wetten een fundamentele herziening van het Nederlandse cybersecurity- en weerbaarheidsrecht. Voor veel organisaties betekent dit nieuwe verplichtingen, strenger toezicht en bestuurdersaansprakelijkheid.

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet is de Nederlandse implementatie van de NIS2-richtlijn en vervangt de huidige Wbni (Wet beveiliging netwerk- en informatiesystemen).

De Cbw introduceert een zorgplicht voor cybersecurity en legt concrete verplichtingen op aan essentiële en belangrijke organisaties. Veel meer organisaties vallen onder de reikwijdte dan voorheen onder de NIS1-richtlijn. Er wordt in de richtlijn onderscheid gemaakt tussen:

Essentiele organisaties

Hieronder vallen organisaties die:

  • door de CER-richtlijn (Critical Entities Resilience) zijn aangewezen als kritieke entiteit.

  • als groot bestempeld worden door de NIS2-richtlijn én binnen een sector uit bijlage I van de NIS2-richtlijn vallen (zoals onder meer de sectoren energie, transport, drinkwater en digitale infrastructuur).

Belangrijke organisaties

Hieronder vallen organisaties die:

  • als middelgroot bestempeld worden door NIS2-richtijn én binnen een sector uit bijlage I van de NIS2-richtlijn vallen.

  • als middelgroot of groot bestempeld worden door de NIS2-richtlijn én binnen een sector uit bijlage II van de NIS2-richtlijn vallen (zoals onder meer de sectoren vervaardiging, postdiensten, levensmiddelen en digitale aanbieders)


En wat is de Wwke?

Naast de Cbw is ook de Wet weerbaarheid kritieke entiteiten aangenomen. De Wet weerbaarheid kritieke entiteiten (Wwke) is de Nederlandse uitvoering van de Europese CER-richtlijn (Critical Entities Resilience).

Waar de Cyberbeveiligingswet zich richt op digitale weerbaarheid, gaat de Wwke over:

  • fysieke beveiliging

  • continuïteit van kritieke processen

  • crisismanagement en verstoringen (zoals sabotage of uitval)

Denk aan sectoren zoals energie, transport, drinkwater en zorg.

De wetten vullen elkaar dus aan: digitale- en fysieke weerbaarheid.

Wanneer treden beide wetten in werking?

De Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten zijn 15 april 2026 aangenomen door de Tweede Kamer en liggen momenteel bij de Eerste Kamer. De regering streeft naar inwerkingtreding van beide wetten in het tweede kwartaal van 2026.

Deze planning is afhankelijk van de parlementaire behandeling en kan nog verschuiven.

Belangrijkste verplichtingen onder de Cyberbeveiligingswet

1. Zorgplicht (security by design)

Organisaties moeten passende technische en organisatorische maatregelen nemen, waaronder:

  • risicoanalyse

  • incidentpreventie

  • business continuity

  • supply chain security

2. Meldplicht incidenten

Organisaties hebben een gefaseerde meldplicht (bij het Nationaal Cyber Security Centrum):

  • Binnen 24 uur een eerste melding

  • Binnen 72 uur eennadere analyse

  • Eindrapport na afhandeling

3. Supply chain security

Organisaties zijn verantwoordelijk voor:

  • beveiliging van leveranciers (bijv. SaaS)

  • contractuele borging van security

  • monitoring van derden.

4. Bestuurdersaansprakelijkheid

Bestuurders moeten:

  • toezicht houden op cybersecuritybeleid

  • actief betrokken zijn

  • kennis opdoen (training)

Bij nalatigheid kan persoonlijke aansprakelijkheid van de bestuurder ontstaan.

5. Toezicht en handhaving

Toezichthouders (zoals Autoriteit Financiële Markten en De Nederlandsche Bank in specifieke sectoren) krijgen:

  • uitgebreide onderzoeksbevoegdheden

  • mogelijkheid tot hoge boetes

  • bindende aanwijzingen

Impact voor SaaS- en IT-leveranciers

Ook als u niet direct onder de wet valt, kunt u als organisatie indirect geraakt worden door de contractuele keten:

  • klanten zullen NIS2-verplichtingen terug willen zien in contracten

  • strengere audits en security due diligence

  • zwaardere aansprakelijkheidsdiscussies.

Conclusie

De inwerkingtreding van de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten komt snel dichtbij. Voor veel organisaties betekent dit op korte termijn voldoen aan alle bijbehorende verplichtingen.

Is uw organisatie al helemaal klaar is voor de invoering van beide wetten?

Neem vrijblijvend contact met ons op en bespreek uw situatie.
Klik op onderstaande button of bel ons direct op telefoonnummer 010-2290646.

Neem contact op