De Cyberbeveiligingswet (Cbw): wat betekent de Nederlandse NIS2 wet voor jouw organisatie?

De Europese NIS2 richtlijn is sinds oktober 2024 van kracht. Elke EU lidstaat moet deze richtlijn vertalen naar nationale wetgeving. In Nederland is dat de Cyberbeveiligingswet (Cbw). Op 15 april 2026 heeft de Tweede Kamer de wet aangenomen. De verwachte inwerkingtreding is 1 juli 2026. Voor organisaties die onder de wet vallen, is dit het moment om concreet aan de slag te gaan.

Dit artikel beschrijft wat de Cyberbeveiligingswet inhoudt, wie eronder valt, welke verplichtingen de wet oplegt, en wat je nu moet doen om voorbereid te zijn.

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2 richtlijn. Waar NIS2 het Europese kader schetst, vertaalt de Cbw dat naar concreet Nederlands recht. De wet vervangt de huidige Wet beveiliging netwerk en informatiesystemen (Wbni) en breidt de scope aanzienlijk uit. Meer sectoren, meer organisaties en strengere eisen.

Het doel van de wet is helder: het verhogen van de digitale weerbaarheid van Nederland. Cyberincidenten raken niet alleen individuele organisaties maar kunnen hele ketens en sectoren ontwrichten. De Cbw legt daarom minimale beveiligingseisen op aan organisaties die een belangrijke rol spelen in de economie en samenleving.

Wie valt eronder?

De Cbw onderscheidt twee categorieen organisaties: essentieel en belangrijk. Essentieel zijn organisaties in sectoren als energie, transport, bankwezen, financiele marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT diensten (B2B), overheid en ruimtevaart. Belangrijk zijn organisaties in sectoren als post en koeriersdiensten, afvalbeheer, chemische industrie, levensmiddelen, vervaardiging van bepaalde producten (medische hulpmiddelen, elektronica, machines, motorvoertuigen), digitale aanbieders en onderzoeksorganisaties.

In totaal gaat het om achttien sectoren. De drempel is een omvang van meer dan 50 medewerkers of meer dan 10 miljoen euro jaaromzet. Maar ook kleinere organisaties kunnen onder de wet vallen als ze een kritieke rol vervullen in een keten. Denk aan een kleine IT dienstverlener die essentieel is voor de operatie van een ziekenhuis of energiebedrijf.

Een belangrijk verschil met de huidige Wbni is dat organisaties zelf moeten beoordelen of ze onder de Cbw vallen. Er is geen aanwijzingsprocedure meer. De wet werkt op basis van zelfidentificatie.

De drie kernverplichtingen

De Cbw legt drie hoofdverplichtingen op: de registratieplicht, de zorgplicht en de meldplicht.

Registratieplicht

Organisaties die onder de Cbw vallen, moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Dit is een actieve verplichting: je wacht niet tot je wordt aangewezen, maar je meldt je zelf aan. De registratie omvat basisinformatie over je organisatie, je sector, je contactgegevens en de diensten die je levert. De registratieplicht geldt vanaf de inwerkingtreding van de wet.

Zorgplicht

De zorgplicht is de kern van de wet. Organisaties moeten passende en evenredige technische, operationele en organisatorische maatregelen treffen om de risico's voor hun netwerk en informatiesystemen te beheersen. De wet somt tien categorieen van maatregelen op, die grotendeels overeenkomen met artikel 21 van NIS2:

Een beleid inzake risicoanalyse en beveiliging van informatiesystemen. Incidentenbehandeling. Bedrijfscontinuiteit, zoals back upbeheer, noodvoorzieningen en crisisbeheer. Beveiliging van de toeleveringsketen. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden. Beleid en procedures om de effectiviteit van maatregelen te beoordelen. Basispraktijken op het gebied van cyberhygiene en opleiding in cyberbeveiliging. Beleid en procedures inzake het gebruik van cryptografie en waar passend versleuteling. Beveiligingsaspecten op het vlak van personeel, toegangsbeleid en beheer van activa. Het gebruik van multifactorauthenticatie, beveiligde communicatie en waar passend beveiligde noodcommunicatie.

Het woord passend en evenredig is cruciaal. De wet verwacht geen one size fits all aanpak, maar maatregelen die passen bij de omvang, het risicoprofiel en de aard van de organisatie. Een ziekenhuis heeft andere maatregelen nodig dan een logistiek bedrijf. Maar beide moeten kunnen aantonen dat ze hun risico's kennen en beheersen.

Meldplicht

Significante incidenten moeten worden gemeld bij het NCSC. De wet hanteert een getrapte meldstructuur. Binnen 24 uur na het ontdekken van een significant incident moet een vroegtijdige waarschuwing worden gedaan. Binnen 72 uur volgt een incidentmelding met een eerste beoordeling van de aard, ernst en impact. Binnen een maand na de melding moet een eindverslag worden ingediend met een gedetailleerde beschrijving van het incident, de oorzaak, de genomen maatregelen en de grensoverschrijdende impact.

Een incident is significant als het een aanzienlijke operationele verstoring van de dienst kan veroorzaken of financiele verliezen voor de betrokken entiteit kan veroorzaken, of als het andere natuurlijke of rechtspersonen kan treffen door aanzienlijke materiele of immateriele schade te veroorzaken.

Toezicht en handhaving

De Rijksinspectie Digitale Infrastructuur (RDI) wordt de primaire toezichthouder voor de Cbw. Daarnaast zijn er sectorspecifieke toezichthouders die voor hun eigen sector toezicht houden. De Autoriteit Financiele Markten (AFM) en De Nederlandsche Bank (DNB) blijven verantwoordelijk voor de financiele sector, waar ook DORA van toepassing is.

Het toezicht is risicogebaseerd. Essentieel entiteiten worden proactief gecontroleerd, ook zonder concrete aanleiding. Belangrijk entiteiten worden reactief gecontroleerd, doorgaans naar aanleiding van een incident, melding of signaal.

Toezichthouders krijgen ruime bevoegdheden: het uitvoeren van audits, het opvragen van informatie, het geven van bindende aanwijzingen en het opleggen van sancties.

Boetes

De sancties zijn stevig. Voor essentieel entiteiten geldt een maximale boete van 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor belangrijk entiteiten is dat 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Bestuurlijke aansprakelijkheid

Een van de meest ingrijpende aspecten van de Cbw is de bestuurlijke aansprakelijkheid. Bestuurders en toezichthouders van organisaties die onder de wet vallen, kunnen persoonlijk aansprakelijk worden gesteld voor het niet naleven van de zorgplicht. Dit betekent dat cybersecurity niet langer alleen een IT onderwerp is, maar een bestuurlijke verantwoordelijkheid. Bestuurders moeten de cybersecuritymaatregelen goedkeuren, toezicht houden op de implementatie en relevante cybersecurityopleidingen volgen.

Overlap met bestaande frameworks

Organisaties die al werken met ISO 27001, SOC 2, de BIO of DORA hebben een voorsprong. De tien maatregelen uit de Cbw overlappen grotendeels met de controls uit deze frameworks. Maar er zijn specifieke aanvullingen die aandacht vragen.

De meldplicht met de getrapte structuur van 24 uur, 72 uur en een maand is specifieker dan wat de meeste frameworks voorschrijven. De ketenverantwoordelijkheid gaat verder dan een standaard leveranciersbeleid. En de bestuurlijke aansprakelijkheid is nieuw voor veel organisaties.

Wij zien in de praktijk dat organisaties met een bestaand ISMS het snelst compliant worden. Het ISMS biedt het fundament; de Cbw specifieke eisen worden als aanvulling geimplementeerd.

Wat moet je nu doen?

Bepaal of je onder de Cbw valt. Beoordeel je sector, omvang en rol in de keten. Bij twijfel: neem het zekere voor het onzekere en ga ervan uit dat je eronder valt.

Voer een gap analyse uit. Vergelijk je huidige beveiligingsmaatregelen met de tien maatregelen uit de wet. Identificeer waar je al voldoet en waar actie nodig is.

Richt de meldprocedure in. Zorg dat je een proces hebt om significante incidenten te detecteren en binnen de wettelijke termijnen te melden bij het NCSC.

Betrek het bestuur. Zorg dat bestuurders begrijpen wat hun verantwoordelijkheid is onder de Cbw. Plan cybersecurityopleidingen voor het bestuur en leg de governance vast.

Breng je keten in kaart. Inventariseer je leveranciers en de beveiligingsmaatregelen die bij hen zijn belegd. Pas contracten aan waar nodig.

Registreer je bij het NCSC. Zodra het registratieportaal beschikbaar is, meld je je organisatie aan.

Begin vandaag

De Cbw is geen toekomstmuziek. De wet is aangenomen en de inwerkingtreding nadert. Organisaties die nu beginnen met de voorbereiding, hebben voldoende tijd om hun zaken op orde te krijgen. Organisaties die wachten, riskeren niet alleen boetes maar ook reputatieschade en bestuurlijke aansprakelijkheid.

Secure Audit helpt organisaties bij het bepalen van hun Cbw scope, het uitvoeren van gap analyses en het implementeren van de vereiste maatregelen. Van registratie en risicoanalyse tot meldprocedures en bestuursopleidingen. Neem contact op voor een Cbw readiness assessment.