De Eerste Kamer heeft op 7 juli ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Hiermee zet Nederland een belangrijke stap in het versterken van de digitale en fysieke weerbaarheid van organisaties tegen toenemende dreigingen. De wetten treden op 15 augustus 2026 in werking. Vanaf dat moment gelden nieuwe verplichtingen voor ruim 8000 organisaties in Nederland op het gebied van cyberbeveiliging. Daarnaast worden organisaties die onder de Wet weerbaarheid kritieke entiteiten vallen vanaf dat moment formeel aangewezen als kritieke entiteit.
Minister van Justitie en Veiligheid David van Weel: "Of het nu gaat om digitale dreigingen, sabotage, natuurrampen of andere verstoringen: organisaties moeten voorbereid zijn op risico’s die de continuïteit van essentiële dienstverlening kunnen raken. Met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten versterken we de weerbaarheid van organisaties én onze samenleving. Ik roep organisaties op om tijdig aan de nieuwe verplichtingen te voldoen.”
Cyberbeveiligingswet: wat betekent dit voor organisaties?
De Cyberbeveiligingswet implementeert de Europese NIS2-richtlijn in Nederland en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Organisaties zijn zelf verantwoordelijk om te toetsen of ze onder de Cyberbeveiligingswet vallen.
De Cyberbeveiligingswet geldt voor organisaties die essentiële of belangrijke diensten verlenen. De wet ziet toe op organisaties uit 18 sectoren, waaronder de sectoren energie, drinkwater, digitale infrastructuur, gezondheidszorg, overheid en vervoer.
Nieuwe verplichtingen
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder meer te maken met:
- Registratieplicht
Organisaties moeten zich registreren in het entiteitenregister via het Nationaal Cyber Security Centrum (NCSC). - Zorgplicht
Organisaties moeten maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen daarvan te beperken. - Meldplicht
Organisaties moeten significante incidenten binnen de wettelijke termijnen melden aan hun CSIRT en bevoegde autoriteit via het meldportaal. - Bestuurlijke verantwoordelijkheid
Het bestuur is eindverantwoordelijk voor cyberrisicobeheersing. Bestuurders moeten beschikken over voldoende kennis om risico’s en beveiligingsmaatregelen te kunnen beoordelen en volgen daarvoor een passende training. - Toezicht en handhaving
Toezichthouders controleren of organisaties voldoen aan de verplichtingen uit de Cyberbeveiligingswet.
Voorbereidingen treffen richting 15 augustus
Het is belangrijk voor organisaties die onder de Cyberbeveiligingswet vallen, om aan de slag te gaan.
1 van de eerste stappen voor organisaties is het registeren bij het Nationaal Cyber Security Centrum via mijn.ncsc.nl. Dit is per 15 augustus verplicht. Om de registratie goed te laten verlopen, is het verstandig deze nu al voor te bereiden. Na registratie kunnen organisaties aansluiten op de dienstverlening van hun CSIRT. Daar krijgen zij producten en diensten om de weerbaarheid van de organisatie te vergroten en ondersteuning in geval van een incident.
Wet weerbaarheid kritieke entiteiten
De Wet weerbaarheid kritieke entiteiten implementeert de Europese CER-richtlijn in Nederland. Het doel van die richtlijn is om de kritieke infrastructuur en economische activiteiten in Europa zo goed mogelijk te beschermen tegen allerlei soorten dreigingen, zoals de gevolgen van terroristische misdrijven, sabotage en natuurrampen.
De Wet weerbaarheid kritieke entiteiten is van toepassing op ongeveer 500 organisaties, in elk geval de volgende sectoren: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart en productie, nucleair, keren en beheren, meteorologie, productie, verwerking en distributie van levensmiddelen.
Een organisatie valt onder de Wet weerbaarheid kritieke entiteiten als deze door de vakminister wordt aangewezen als zogeheten kritieke entiteit.