Witold Kepinski - 08 juli 2026

Eerste Kamer stemt in met ingrijpende Cyberbeveiligingswet

De Eerste Kamer heeft op dinsdag 7 juli 2026 definitief groen licht gegeven voor twee ingrijpende veiligheidswetten: de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Met de goedkeuring zet Nederland een cruciale stap in de bescherming van de vitale infrastructuur. Vanaf 15 augustus aanstaande veranderen de spelregels voor ruim 8000 Nederlandse organisaties ingrijpend. Zij moeten vanaf die datum aan strenge nieuwe eisen voldoen om de digitale en fysieke continuïteit van hun diensten te waarborgen.

Eerste Kamer stemt in met ingrijpende Cyberbeveiligingswet image

De nieuwe wetgeving komt op een moment dat de dreigingen vanuit het digitale domein, maar ook fysieke risico's zoals sabotage en natuurrampen, hand over hand toenemen. Minister van Justitie en Veiligheid David van Weel benadrukt de urgentie van de maatregelen: "Of het nu gaat om digitale dreigingen, sabotage, natuurrampen of andere verstoringen: organisaties moeten voorbereid zijn op risico’s die de continuïteit van essentiële dienstverlening kunnen raken. Met deze wetten versterken we de weerbaarheid van organisaties én onze samenleving." De bewindsman roept getroffen sectoren op geen tijd te verliezen en direct in actie te komen.

Cyberbeveiligingswet: Impact op 18 sectoren

De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en vervangt de verouderde Wet beveiliging netwerk- en informatiesystemen (Wbni). De impact is enorm: de wet is van toepassing op bedrijven en instanties in 18 verschillende sectoren, variërend van de energie- en drinkwatersector tot de gezondheidszorg, transport, overheid en de digitale infrastructuur.

Opvallend is dat organisaties zélf de verantwoordelijkheid dragen om te toetsen of zij onder de nieuwe wetgeving vallen. Wie onder de wet valt, krijgt te maken met een pakket aan strenge verplichtingen:

Zorgplicht: Organisaties moeten aantoonbare maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te garanderen en incidenten te voorkomen.

Meldplicht: Grote, significante incidenten moeten binnen wettelijk vastgestelde termijnen direct via een centraal meldportaal worden doorgegeven aan de bevoegde autoriteiten en het Computer Emergency Response Team (CSIRT).

Bestuurlijke aansprakelijkheid: De directie of het bestuur wordt eindverantwoordelijk voor de cyberrisico's. Bestuurders zijn verplicht een passende training te volgen om risico's en beveiligingsmaatregelen zelfstandig te kunnen beoordelen.

Registratieplicht: Vanaf 15 augustus is registratie in het centrale entiteitenregister van het Nationaal Cyber Security Centrum (NCSC) verplicht.

Het NCSC adviseert organisaties om deze registratie nu al voor te bereiden via mijn.ncsc.nl, zodat zij na de deadline direct gebruik kunnen maken van de dreigingsinformatie en crisisondersteuning van het CSIRT. Toezichthouders zullen na de invoering streng gaan controleren op de naleving van deze regels.

Fysieke bescherming via de Wwke

Naast de digitale bescherming regelt de Wet weerbaarheid kritieke entiteiten (Wwke) de fysieke veiligheid van de absolute fundamenten van de Nederlandse samenleving. Deze wet implementeert de Europese CER-richtlijn en richt zich op de bescherming tegen terrorisme, sabotage en de gevolgen van klimaatverandering of natuurrampen.

Waar de Cyberbeveiligingswet duizenden bedrijven treft, is de Wwke van toepassing op een selectere groep van ongeveer 500 organisaties in vitale sectoren zoals de lucht- en ruimtevaart, banken, levensmiddelenvoorziening, meteorologie en de nucleaire sector. Organisaties vallen pas officieel onder deze wet wanneer zij door de verantwoordelijke vakminister formeel zijn aangewezen als 'kritieke entiteit'. Deze aanwijzingen zullen eveneens vanaf 15 augustus 2026 van kracht worden.

MSP Global BN + BW Aces Direct BW + BN
MSP Global BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!