Op 15 augustus 2026 treedt de Cyberbeveiligingswet (Cbw) in werking. De Cbw omvat de Europese NIS2‑richtlijn die na bijna twee jaar vertraging is omgezet naar Nederlandse wetgeving. Dit zijn de belangrijkste aandachtspunten en achtergronden die organisaties nu moeten kennen.
#1 Cyberbeveiligingswet: NIS2 komt bijna twee jaar te laat
De Cyberbeveiligingswet is op 7 juli 2026 aangenomen en treedt op 15 augustus 2026 in werking. Dat is bijna twee jaar na de oorspronkelijke deadline van 17 oktober 2024. De wet geldt voor zo’n 8.000 organisaties. Nederland miste de deadline voor het omzetten van de EU-richtlijn NIS2 (Network and Information Security 2). Dat is aangescherpte Europese wetgeving die de cyberbeveiliging en digitale weerbaarheid van organisaties en vitale sectoren binnen de Europese Unie moet verhogen. Het omzetten van de NIS2-richtlijn naar Nederlandse wetgeving liep vertraging op door discussies over de reikwijdte, conflicten tussen toezichthouders en gesteggel over het principe van zelfindicatie. Organisaties moeten namelijk zelf bepalen of ze onder de wet vallen en zich melden. Dat leidde tot juridische onzekerheid en uitstel.
#2 Wie vallen er onder de Cyberbeveiligingswet?
Bij de Cyberbeveiligingswet vallen veel organisaties van rechtswege onder de wet. Organisaties zijn zelf verantwoordelijk om te bepalen of zij onder deze wet vallen. De wet geldt voor organisaties in negentien sectoren waaronder energie, digitale infrastructuur, overheid, ruimtevaart en onderzoek. Daarnaast vallen ook middelgrote en grote bedrijven onder de wet. Het gaat om organisaties met vijftig of meer medewerkers en/of een omzet of balanstotaal van tien miljoen euro. Toeleveranciers en dochterbedrijven kunnen eveneens in beeld komen, afhankelijk van hun rol in de keten. Organisaties kunnen met een NIS2-zelfevaluatietool een eerste beoordeling doen of ze onder de Cyberbeveiligingswet vallen en hoe ze worden gekwalificeerd (‘essentieel’ of ‘belangrijk’).
#3 De vijf basisverplichtingen van de Cyberbeveiligingswet
Elke organisatie die onder de Cyberbeveiligingswet valt, moet voldoen aan deze generieke normen:
- Registratieplicht. Organisaties die onder de Cyberbeveiligingswet vallen, moeten zich vanaf 15 augustus 2026 registreren bij het NCSC (Nationaal Cyber Security Center) via mijn.ncsc.nl. Na registratie krijgen zij toegang tot hun sectorale csirt (computer security incident response team). Elke organisatie is zelf verantwoordelijk voor tijdige registratie én voor het actueel houden van alle gegevens in het entiteitenregister dat informatie ophaalt uit het handelsregister van de Kamer van Koophandel.
- Zorgplicht. Organisaties moeten passende technische, organisatorische én fysieke beveiligingsmaatregelen nemen, zoals beleid voor de beveiliging van netwerk- en informatiesystemen, basispraktijken voor cyberhygiëne, het gebruik van multifactor-authenticatie of continue-authenticatieoplossingen. Bekijk hier de tien vereiste zorgplichtmaatregelen.
- Bestuurlijke verantwoordelijkheid. Bestuurders moeten beschikken over voldoende kennis en vaardigheden om cyberrisico’s en de maatregelen die worden genomen te kunnen beoordelen. Om die reden bevat de wet ook een trainingsplicht voor bestuurders.
- Meldplicht. Organisaties onder de Cyberbeveiligingswet moeten ‘significante cyberincidenten’ melden via het NCSC‑meldportaal. De meldplicht moet helpen om schade te beperken, te ondersteunen bij herstel en dreigingsinformatie te verbeteren. Een incident is significant wanneer het de dienstverlening ernstig verstoort, grote financiële schade veroorzaakt, of ook andere entiteiten kan raken met materiële of immateriële schade. Ze moeten binnen 24 uur gemeld zijn.
- Informatieplicht. Naast de verplichte melding aan toezichthouders moeten organisaties onder de Cyberbeveiligingswet ook hun eigen klanten informeren bij een significant cyberincident. Ze moeten duidelijk maken wat er is gebeurd, welke impact dat heeft, en welke acties klanten zelf moeten nemen om schade te beperken. Deze informatieplicht staat los van de bestaande AVG‑meldplicht bij de Autoriteit Persoonsgegevens.
#4 Toezicht: versnipperd, afhankelijk van sector
Het toezicht op de Cyberbeveiliginsgwet is verdeeld over meerdere instanties. De Doorverwijsboom Cyberbeveiligingswet laat zien welk ministerie en welke csirt en toezichthouder per sector verantwoordelijk zijn.
Zo vallen banken bijvoorbeeld onder de verantwoordelijkheid van het Ministerie van Financiën, bij incidenten kunnen ze zich melden bij het csirt van NCSC (Nationaal Cyber Security Center) en DNB (De Nederlandsche Bank) is toezichthouder. Leveranciers van digitale infrastructuur vallen onder het Ministerie van EZK, het csirt van NCSC en de RDI (Rijksinspectie Digitale Infrastructuur) is toezichthouder
#5 ‘Essentiële’ versus ‘belangrijke’ organisaties: twee toezichtregimes
In de Cyberbeveiligingswet wordt onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ organisaties.
‘Essentiële organisaties’ zijn onder meer actief in de energie-sector, digitale infrastructuur, ict‑dienstbeheer, overheid en ruimtevaart. Ze krijgen proactief toezicht. Dat wil zeggen dat er inspecties en nalevingscontrole plaatsvinden ook als er geen incident is gemeld.
Onder ‘belangrijke organisaties’ vallen onder andere: post- en koeriersbedrijven, aanbieders van digitale diensten en onderzoeksbedrijven die niet onder het onderwijs vallen. Zij krijgen ‘reactief toezicht’. Dat wil zeggen dat controle pas plaatsvindt na een incident of signaal.
#6 Kritiek op de Cyberbeveiligingswet
Experts wijzen op drie zwakke plekken:
- De wet bevat geen concrete technische beveiligingsnormen: de wet zegt wat er moet gebeuren, maar niet concreet hoe.
- Ketenonduidelijkheid: criteria voor wanneer een leverancier ‘essentieel’ wordt, zijn vaag.
- Het toezichtmodel is veel te complex. Er zijn veel loketten en er is veel variatie per sector.
Meer informatie
Dit artikel is samengesteld uit informatie van de volgende bronnen: Cyberbeveiligingswet, Doorverwijsboom Cyberbeveiligingswet.

