Wat is de Cyberbeveiligingswet?
De Cyberbeveiligingswet (Cbw) is de Nederlandse implementatie van de Europese NIS2-richtlijn. Deze wet vervangt de eerdere Wet beveiliging netwerk- en informatiesystemen (Wbni) en treedt naar verwachting in het derde kwartaal van 2026 in werking, gevolgd door een overgangsperiode van zes maanden.
De wet is op 15 april 2026 aangenomen door de Tweede Kamer en wacht op behandeling in de Eerste Kamer. Zodra de Cyberbeveiligingswet van kracht is, worden de NIS2-vereisten juridisch afdwingbaar in Nederland.
Wat verandert er ten opzichte van de huidige wet?
Veel meer organisaties in scope
De oude Wbni dekte circa 1.000 organisaties. De Cyberbeveiligingswet brengt naar schatting 8.000 organisaties in scope — een verachtdubbeling. Dit komt doordat NIS2 18 sectoren aanwijst (tegenover de beperkte scope van NIS1) en lagere drempels hanteert.
Twee categorieën: essentieel en belangrijk
Organisaties worden ingedeeld als essentiële entiteit (grote organisaties in Bijlage I-sectoren) of belangrijke entiteit (middelgrote organisaties). Essentiële entiteiten worden proactief gecontroleerd; belangrijke entiteiten reactief, na een incident of signaal.
Bestuurders persoonlijk aansprakelijk
Een cruciale verandering: de Cyberbeveiligingswet maakt bestuurders persoonlijk verantwoordelijk voor cybersecurity. Ze moeten de risicomaatregelen goedkeuren, toezicht houden op de uitvoering en zelf cybersecurity-training volgen.
Meldplicht binnen 24 uur
Bij een significant incident moet je binnen 24 uur een early warning doen bij het NCSC/CSIRT, binnen 72 uur een gedetailleerde melding en binnen 1 maand een eindrapport.
De 10 verplichtingen uit de Cyberbeveiligingswet
De wet schrijft 10 minimale maatregelen voor, gebaseerd op NIS2 Artikel 21:
- 1Beleid voor risicoanalyse en informatiebeveiliging — Structureel risico's identificeren en passend beleid opstellen.
- 2Incidentbehandeling — Procedures voor detectie, respons en rapportage van security-incidenten.
- 3Bedrijfscontinuïteit — Backup, disaster recovery en crisismanagement.
- 4Supply chain security — Beveiliging van de toeleveringsketen.
- 5Beveiliging bij ontwikkeling en onderhoud — Security in het hele ontwikkel- en beheerproces.
- 6Effectiviteitsbeoordeling — Regelmatig toetsen of je maatregelen werken.
- 7Basis cyberhygiëne en trainingen — Bewustwordingsprogramma's voor alle medewerkers.
- 8Cryptografie en encryptie — Beleid voor het gebruik van versleuteling.
- 9Toegangsbeheer en asset management — Beheer van gebruikersrechten en bedrijfsmiddelen.
- 10Multi-factor authenticatie — MFA en beveiligde communicatiemiddelen.
Wat zijn de boetes?
| Categorie | Maximale boete |
|---|---|
| Essentiële entiteiten | €10 miljoen of 2% van de wereldwijde jaaromzet |
| Belangrijke entiteiten | €7 miljoen of 1,4% van de wereldwijde jaaromzet |
Daarnaast kan de toezichthouder bindende aanwijzingen geven en in ernstige gevallen de dienstverlening tijdelijk opschorten.
Hoe bereid je je voor?
De overgangsperiode van 6 maanden na inwerkingtreding is kort. Een realistisch NIS2 compliance traject duurt 3 tot 6 maanden. Dat betekent: nu starten is niet te vroeg.
De aanbevolen stappen:
- 1NIS2 quickscan — Bepaal of je onder de wet valt
- 2Gap analyse — Breng in kaart wat ontbreekt
- 3Implementatie — Stel documenten op, richt processen in, train medewerkers
- 4Audit — Toets je maatregelen en bereid evidence voor
- 5Continue monitoring — Houd je compliance op peil
Bij PeopleRock begeleiden we organisaties door dit hele traject. Van quickscan tot continuous compliance, met een real-time dashboard dat je compliance-status live uitleest uit je Microsoft 365-omgeving.