Op 15 april 2026 heeft de Tweede Kamer ingestemd met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.
Daarmee is een belangrijke mijlpaal bereikt in de versterking van de digitale en fysieke weerbaarheid van Nederland. Hoewel de Eerste Kamer nog moet stemmen, is de kans op goedkeuring zeer groot. Organisaties doen er verstandig aan om uit te gaan van inwerkingtreding per 1 juli 2026.
Deze wetgeving is geen gewone compliance-oefening. Het markeert een fundamentele verschuiving: cybersecurity en weerbaarheid worden expliciet bestuurlijke verantwoordelijkheden. Organisaties moeten niet alleen maatregelen nemen, maar deze ook aantoonbaar beheersen.
1. Van Europese richtlijn naar Nederlandse verplichting
De Cyberbeveiligingswet is de Nederlandse implementatie van de Europese NIS2-richtlijn. Deze richtlijn heeft als doel om binnen de Europese Unie een uniform en hoog niveau van cyberbeveiliging te realiseren. De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) en introduceert strengere eisen voor organisaties die afhankelijk zijn van netwerk- en informatiesystemen.
Parallel hieraan wordt de CER-richtlijn geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Waar de Cyberbeveiligingswet zich richt op digitale dreigingen, kijkt deze wet breder naar de bescherming van vitale infrastructuur tegen fysieke risico’s zoals sabotage, terrorisme en natuurrampen.
Samen zorgen deze wetten voor een geïntegreerde benadering van risico’s. Organisaties moeten niet langer alleen naar IT kijken, maar naar hun volledige bedrijfsvoering.
Een belangrijk verschil tussen beide wetten zit in de reikwijdte:
- Bij de Cyberbeveiligingswet moeten organisaties zelf bepalen of zij onder de wet vallen
- Bij de Wet weerbaarheid kritieke entiteiten worden organisaties aangewezen door de overheid
Dit betekent dat onzekerheid over scope geen reden is om af te wachten. De risico’s waarop deze wetgeving inspeelt, bestaan immers nu al.
2. Wat er fundamenteel verandert voor organisaties
De grootste verandering zit niet in de techniek, maar in de manier waarop organisaties omgaan met risico’s en verantwoordelijkheid. Waar cybersecurity voorheen vaak bij IT lag, verschuift dit nu naar de bestuurskamer.
Bestuurders en directies worden eindverantwoordelijk voor:
- het identificeren van risico’s
- het goedkeuren van maatregelen
- het toezicht houden op implementatie en effectiviteit
Deze verantwoordelijkheid is niet vrijblijvend!
De wet stelt expliciet dat bestuurders betrokken moeten zijn en kennis moeten opbouwen over cyberdreigingen. Dit betekent dat zij moeten begrijpen wat risico’s zoals ransomware, datalekken en verstoringen betekenen voor de continuïteit van de organisatie.
Daarnaast worden organisaties verplicht om structureel invulling te geven aan drie kernverplichtingen:
- Zorgplicht: passende technische en organisatorische maatregelen nemen
- Meldplicht: incidenten binnen strikte termijnen melden
- Registratieplicht: inzicht geven in hun rol en activiteiten
De meldplicht is concreet en strak georganiseerd. Organisaties moeten:
- binnen 24 uur een eerste melding doen
- binnen 72 uur een uitgebreide rapportage aanleveren
- binnen een maand een eindrapport opleveren
Dit vereist een volwassen incidentmanagementproces dat niet alleen op papier bestaat, maar daadwerkelijk functioneert.
Een ander belangrijk aspect is ketenverantwoordelijkheid. Organisaties moeten ook de beveiliging van hun leveranciers beoordelen. Dit betekent dat risico’s zich niet langer beperken tot de eigen organisatie, maar zich uitstrekken over de hele keten.
3. Bestuurders: verantwoordelijkheid, aansprakelijkheid en rol
De impact van deze wetgeving is het grootst op bestuursniveau. Bestuurders krijgen niet alleen meer verantwoordelijkheid, maar ook een grotere mate van persoonlijke aansprakelijkheid.
Zij moeten aantoonbaar:
- inzicht hebben in risico’s
- maatregelen beoordelen en goedkeuren
- toezicht houden op implementatie
- betrokken zijn bij incidentmanagement
Binnen twee jaar na inwerkingtreding moeten bestuurders beschikken over voldoende kennis van cyberrisico’s. Dit wordt ondersteund door trainingen en certificeringen, maar vraagt ook om een structurele integratie van cybersecurity in de governance van de organisatie.
De aansprakelijkheid is niet theoretisch. Bij ernstige nalatigheid kunnen:
- boetes worden opgelegd
- civiele claims ontstaan
- reputatieschade optreden
Daarnaast speelt de rol van bestuurders een cruciale rol bij incidenten. Zij zijn verantwoordelijk voor:
- coördinatie van de respons
- communicatie met toezichthouders
- rapportage aan stakeholders
Cybersecurity wordt daarmee een integraal onderdeel van strategische besluitvorming. Het is niet langer een ondersteunend proces, maar een kernonderdeel van bedrijfsvoering.
4. Implementatie: van beleid naar aantoonbare praktijk
Veel organisaties hebben al maatregelen genomen op het gebied van informatiebeveiliging. De uitdaging ligt echter niet alleen in het nemen van maatregelen, maar in het aantoonbaar maken dat deze effectief zijn.
De wetgeving vraagt om een gestructureerde aanpak:
- risico’s identificeren en prioriteren
- passende maatregelen selecteren
- implementatie organiseren
- effectiviteit periodiek toetsen
Dit betekent dat organisaties moeten werken volgens een continue verbetercyclus (PDCA). Maatregelen zijn pas “geïmplementeerd” als zij:
- daadwerkelijk in gebruik zijn
- aantoonbaar werken
- periodiek worden geëvalueerd
Daarnaast moeten organisaties hun processen inrichten op:
- continue monitoring
- incidentrespons
- rapportage en documentatie
Voor veel organisaties ligt de grootste uitdaging in de vertaalslag van generieke maatregelen naar de praktijk. Een maatregel zoals “patchmanagement” of “toegangsbeheer” moet concreet worden ingevuld per systeem, proces of leverancier.
Voor kleinere organisaties kan dit een uitdaging zijn vanwege beperkte capaciteit en kennis. In dat geval kan ondersteuning worden gezocht in:
- managed security services
- sectorale samenwerkingen
- tooling en automatisering
Belangrijk is dat organisaties niet proberen alles perfect te doen, maar beginnen met de grootste risico’s en daar gericht op sturen.
5. Vooruitkijken: risico, kans en strategische positie
Hoewel de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten vaak worden gezien als verplichting, bieden zij ook duidelijke strategische voordelen.
Organisaties die hun cybersecurity aantoonbaar op orde hebben:
- versterken hun positie in de keten
- voldoen aan eisen van grote opdrachtgevers
- bouwen vertrouwen op bij klanten
- vergroten hun aantrekkelijkheid voor investeerders
Certificeringen en aantoonbare maatregelen worden steeds vaker een voorwaarde voor samenwerking. Organisaties die hier niet aan voldoen, lopen het risico opdrachten te verliezen.
Daarnaast draagt een volwassen aanpak van cybersecurity bij aan:
- minder incidenten
- snellere herstelcapaciteit
- lagere reputatieschade
De echte waarde zit in de verschuiving van reactief naar proactief werken. Organisaties die hun risico’s begrijpen en beheersen, zijn beter in staat om te anticiperen op veranderingen en dreigingen.
Kortom:
Met de goedkeuring door de Tweede Kamer is duidelijk dat de Cyberbeveiligingswet en de ‘Wet weerbaarheid kritieke entiteiten’ geen toekomstmuziek meer zijn, maar realiteit.
De verwachte inwerkingtreding per 1 juli 2026 betekent dat organisaties nog maar beperkte tijd hebben om zich voor te bereiden. Uitstel vergroot risico’s en verkleint de kans op een gecontroleerde implementatie.
De kern van deze wetgeving is helder: organisaties moeten niet alleen maatregelen nemen, maar ook aantoonbaar in control zijn. Dat vraagt om betrokkenheid van bestuurders, een gestructureerde aanpak van risico’s en een cultuur waarin cybersecurity serieus wordt genomen.
Organisaties die nu starten, bouwen niet alleen aan compliance, maar ook aan een sterkere, weerbaardere en toekomstbestendige organisatie.
