Computable.nl
  • Thema’s
    • Carrière
    • IT Strategy & Governance
    • Cloud & Infrastructure
    • Data & AI
    • Security & Risk
    • Software & Development
    • Digitale werkplek
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Home » Security & Risk

Nieuwe Cy­ber­be­vei­li­gings­wet van kracht. Dit moet je weten…

17 juli 2026 - 15:004 minuten leestijdAchtergrondSecurity & RiskNCSC
Pim van der Beek
Pim van der Beek

Op 15 augustus 2026 treedt de Cyberbeveiligingswet (Cbw) in werking. De Cbw omvat de Europese NIS2‑richtlijn die na bijna twee jaar vertraging is omgezet naar Nederlandse wetgeving. Dit zijn de belangrijkste aandachtspunten en achtergronden die organisaties nu moeten kennen.

#1 Cyberbeveiligingswet: NIS2 komt bijna twee jaar te laat

De Cyberbeveiligingswet is op 7 juli 2026 aangenomen en treedt op 15 augustus 2026 in werking. Dat is bijna twee jaar na de oorspronkelijke deadline van 17 oktober 2024. De wet geldt voor zo’n 8.000 organisaties. Nederland miste de deadline voor het omzetten van de EU-richtlijn NIS2 (Network and Information Security 2). Dat is aangescherpte Europese wetgeving die de cyberbeveiliging en digitale weerbaarheid van organisaties en vitale sectoren binnen de Europese Unie moet verhogen. Het omzetten van de NIS2-richtlijn naar Nederlandse wetgeving liep vertraging op door discussies over de reikwijdte, conflicten tussen toezichthouders en gesteggel over het principe van zelfindicatie. Organisaties moeten namelijk zelf bepalen of ze onder de wet vallen en zich melden. Dat leidde tot juridische onzekerheid en uitstel.

#2 Wie vallen er onder de Cyberbeveiligingswet?

Bij de Cyberbeveiligingswet vallen veel organisaties van rechtswege onder de wet. Organisaties zijn zelf verantwoordelijk om te bepalen of zij onder deze wet vallen. De wet geldt voor organisaties in negentien sectoren waaronder energie, digitale infrastructuur, overheid, ruimtevaart en onderzoek. Daarnaast vallen ook middelgrote en grote bedrijven onder de wet. Het gaat om organisaties met vijftig of meer medewerkers en/of een omzet of balanstotaal van tien miljoen euro. Toeleveranciers en dochterbedrijven kunnen eveneens in beeld komen, afhankelijk van hun rol in de keten. Organisaties kunnen met een NIS2-zelfevaluatietool een eerste beoordeling doen of ze onder de Cyberbeveiligingswet vallen en hoe ze worden gekwalificeerd (‘essentieel’ of ‘belangrijk’).

#3 De vijf basisverplichtingen van de Cyberbeveiligingswet

Elke organisatie die onder de Cyberbeveiligingswet valt, moet voldoen aan deze generieke normen:

  • Registratieplicht. Organisaties die onder de Cyberbeveiligingswet vallen, moeten zich vanaf 15 augustus 2026 registreren bij het NCSC (Nationaal Cyber Security Center) via mijn.ncsc.nl. Na registratie krijgen zij toegang tot hun sectorale csirt (computer security incident response team). Elke organisatie is zelf verantwoordelijk voor tijdige registratie én voor het actueel houden van alle gegevens in het entiteitenregister dat informatie ophaalt uit het handelsregister van de Kamer van Koophandel.
  • Zorgplicht. Organisaties moeten passende technische, organisatorische én fysieke beveiligingsmaatregelen nemen, zoals beleid voor de beveiliging van netwerk- en informatiesystemen, basispraktijken voor cyberhygiëne, het gebruik van multifactor-authenticatie of continue-authenticatieoplossingen. Bekijk hier de tien vereiste zorgplichtmaatregelen.
  • Bestuurlijke verantwoordelijkheid. Bestuurders moeten beschikken over voldoende kennis en vaardigheden om cyberrisico’s en de maatregelen die worden genomen te kunnen beoordelen. Om die reden bevat de wet ook een trainingsplicht voor bestuurders.
  • Meldplicht. Organisaties onder de Cyberbeveiligingswet moeten ‘significante cyberincidenten’ melden via het NCSC‑meldportaal. De meldplicht moet helpen om schade te beperken, te ondersteunen bij herstel en dreigingsinformatie te verbeteren. Een incident is significant wanneer het de dienstverlening ernstig verstoort, grote financiële schade veroorzaakt, of ook andere entiteiten kan raken met materiële of immateriële schade. Ze moeten binnen 24 uur gemeld zijn.
  • Informatieplicht. Naast de verplichte melding aan toezichthouders moeten organisaties onder de Cyberbeveiligingswet ook hun eigen klanten informeren bij een significant cyberincident. Ze moeten duidelijk maken wat er is gebeurd, welke impact dat heeft, en welke acties klanten zelf moeten nemen om schade te beperken. Deze informatieplicht staat los van de bestaande AVG‑meldplicht bij de Autoriteit Persoonsgegevens.
#4 Toezicht: versnipperd, afhankelijk van sector

Het toezicht op de Cyberbeveiliginsgwet is verdeeld over meerdere instanties. De Doorverwijsboom Cyberbeveiligingswet laat zien welk ministerie en welke csirt en toezichthouder per sector verantwoordelijk zijn.

Zo vallen banken bijvoorbeeld onder de verantwoordelijkheid van het Ministerie van Financiën, bij incidenten kunnen ze zich melden bij het csirt van NCSC (Nationaal Cyber Security Center) en DNB (De Nederlandsche Bank) is toezichthouder. Leveranciers van digitale infrastructuur vallen onder het Ministerie van EZK, het csirt van NCSC en de RDI (Rijksinspectie Digitale Infrastructuur) is toezichthouder

#5 ‘Essentiële’ versus ‘belangrijke’ organisaties: twee toezichtregimes

In de Cyberbeveiligingswet wordt onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ organisaties.

‘Essentiële organisaties’ zijn onder meer actief in de energie-sector, digitale infrastructuur, ict‑dienstbeheer, overheid en ruimtevaart. Ze  krijgen proactief toezicht. Dat wil zeggen dat er inspecties en nalevingscontrole plaatsvinden ook als er geen incident is gemeld.

Onder ‘belangrijke organisaties’ vallen onder andere: post- en koeriersbedrijven, aanbieders van digitale diensten en onderzoeksbedrijven die niet onder het onderwijs vallen. Zij krijgen ‘reactief toezicht’. Dat wil zeggen dat controle pas plaatsvindt na een incident of signaal.

#6 Kritiek op de Cyberbeveiligingswet

Experts wijzen op drie zwakke plekken:

  • De wet bevat geen concrete technische beveiligingsnormen: de wet zegt wat er moet gebeuren, maar niet concreet hoe.
  • Ketenonduidelijkheid: criteria voor wanneer een leverancier ‘essentieel’ wordt, zijn vaag.
  • Het toezichtmodel is veel te complex. Er zijn veel loketten en er is veel variatie per sector.

Meer informatie
Dit artikel is samengesteld uit informatie van de volgende bronnen: Cyberbeveiligingswet, Doorverwijsboom Cyberbeveiligingswet.

Meer over

cyberbeveiligingswetNIS2

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Netwerk als cruciale securitylaag

    Waarom connectiviteit een sleutelrol krijgt in moderne security

    Computable.nl

    De Nieuwe Realiteit van OT Security

    Waarom kritieke systemen om een andere securityaanpak vragen

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Meer lezen

    Data & AI

    Kort: EU dwingt Google tot meer open Android, geld zoek bij Knaken, Meta gek op privé-data (en meer)

    Security & Risk

    Gecompromitteerde identiteiten zijn nieuwe hoofdingang voor ransomware

    Digitale werkplek

    Kort: Rijk neemt Eset in de arm, actie Extinction Rebellion tegen datacenter Microsoft (en meer)

    Security & Risk

    De ‘breach gap’ als structureel securityprobleem

    Security & Risk

    Oorlog begint niet met een schot, maar met een storing

    Security & Risk

    Kort: Camping-datalek treft kampeerders, datacenter Microsoft goed voor 1 procent NL-stroomverbruik (en meer)

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs