Eerste Kamer gaat akkoord: Cyberbeveiligingswet vanaf 15 augustus 2026 van kracht
De Cyberbeveiligingswet treedt op 15 augustus 2026 in werking. Bedrijven krijgen te maken met nieuwe verplichtingen rond digitale weerbaarheid.
De Eerste Kamer heeft ingestemd met de Cyberbeveiligingswet. Ook de Wet weerbaarheid kritieke entiteiten is goedgekeurd. Beide wetten gaan in op 15 augustus 2026. Daarmee krijgen veel organisaties in Nederland te maken met strengere regels voor veiligheid en weerbaarheid.
De wetten moeten bedrijven en instellingen beter beschermen tegen digitale dreigingen. Denk aan cyberaanvallen, storingen of problemen bij belangrijke leveranciers. Voor organisaties die onder de wet vallen, komen er nieuwe verplichtingen. Zij moeten risico’s beter in kaart brengen, incidenten melden en kunnen laten zien dat zij hun digitale veiligheid serieus nemen.
Cyberbeveiligingswet inwerkingtreding op 15 augustus
De Cyberbeveiligingswet, vaak afgekort tot Cbw, implementeert de Europese NIS2-richtlijn in Nederland. De wet vervangt de huidige Wet beveiliging netwerk- en informatiesystemen. Daarmee wordt de groep organisaties die met cybersecurityverplichtingen te maken krijgt groter.
De Rijksinspectie Digitale Infrastructuur gaat toezicht houden op duizenden organisaties uit negen sectoren. Organisaties moeten zelf controleren of zij onder de Cyberbeveiligingswet vallen. Dat maakt voorbereiding belangrijk, zeker voor bedrijven die nog niet eerder onder vergelijkbare regelgeving vielen.
Voor welke sectoren gaat de Cyberbeveiligingswet gelden?
De Cyberbeveiligingswet geldt voor essentiële en belangrijke organisaties. Dat zijn organisaties waarvan de diensten of processen zo belangrijk zijn dat verstoring grote gevolgen kan hebben voor economie, samenleving of veiligheid.
De RDI gaat onder meer toezicht houden op organisaties in deze sectoren:
- Energie.
- Digitale infrastructuur.
- Beheer van ICT-diensten.
- Overheid, behalve waterschappen.
- Ruimtevaart.
- Post- en koeriersdiensten.
- Vervaardiging, behalve medisch.
- Digitale aanbieders.
- Onderzoek voor organisaties die vallen onder het ministerie van Economische Zaken en Klimaat.
Voor bedrijven in deze sectoren is het dus verstandig om niet af te wachten. Ook wanneer nog niet alles tot in detail duidelijk is, kunnen organisaties al beginnen met het in kaart brengen van systemen, risico’s, leveranciers en verantwoordelijkheden.
Cyberbeveiligingswet verplichtingen bedrijven
Bedrijven die onder de wet vallen, moeten hun digitale veiligheid beter organiseren. Het gaat dus niet alleen om een firewall of antivirusprogramma. Organisaties moeten kunnen aantonen dat zij risico’s kennen en maatregelen nemen.
Bedrijven die onder de Cyberbeveiligingswet vallen, krijgen onder meer te maken met:
- Registratieplicht: organisaties moeten zich registreren in het entiteitenregister via het Nationaal Cyber Security Centrum.
- Zorgplicht: organisaties moeten maatregelen nemen om risico’s voor netwerk- en informatiesystemen te beheersen.
- Meldplicht: significante incidenten moeten binnen de wettelijke termijnen worden gemeld.
- Bestuurlijke verantwoordelijkheid: het bestuur is eindverantwoordelijk voor cyberrisicobeheersing en moet voldoende kennis hebben om risico’s te beoordelen.
- Passende training: bestuurders moeten worden getraind om cybersecurityrisico’s en
maatregelen beter te kunnen volgen.
Voor veel organisaties betekent dit dat cybersecurity niet langer alleen bij IT kan liggen. Ook directie, management, juridische afdeling, inkoop en operations krijgen ermee te maken.
Wat verandert er voor bedrijven wanneer de Cyberbeveiligingswet van kracht gaat?
De grootste verandering is dat digitale veiligheid aantoonbaar moet worden geregeld. Bedrijven moeten niet alleen zeggen dat zij veilig werken, maar dit ook kunnen laten zien. Denk aan beleid, procedures, risicoanalyses en een duidelijk plan voor incidenten.
Ook leveranciers worden belangrijker. Veel organisaties werken met cloudsoftware, ICT-partners en externe systemen. Als die systemen belangrijk zijn voor het bedrijf, moeten de risico’s goed worden meegenomen. Een zwakke schakel in de keten kan namelijk gevolgen hebben voor de hele organisatie.
Wet weerbaarheid kritieke entiteiten
Naast de Cyberbeveiligingswet wordt ook de Wet weerbaarheid kritieke entiteiten van kracht. Deze wet implementeert de Europese CER-richtlijn in Nederland. Waar de Cyberbeveiligingswet vooral draait om digitale veiligheid, richt de Wwke zich breder op de fysieke en organisatorische weerbaarheid van kritieke entiteiten.
Een organisatie valt onder deze wet wanneer een minister deze aanwijst als kritieke entiteit. Dat gebeurt bijvoorbeeld bij organisaties die belangrijk zijn voor energie, digitale infrastructuur of ruimtevaart. Voor deze bedrijven wordt weerbaarheid dus nog breder bekeken dan alleen cybersecurity.
Digitale weerbaarheid Nederland wordt strenger georganiseerd
Naast de Cyberbeveiligingswet gaat ook de Wet weerbaarheid kritieke entiteiten in. Deze wet gaat niet alleen over digitale veiligheid, maar ook over bredere weerbaarheid. Denk aan fysieke risico’s, verstoringen en continuïteit van belangrijke diensten.
In de praktijk betekent dit dat bedrijven hun digitale basis op orde moeten hebben. Denk aan toegangsbeheer, back-ups, monitoring, incidentprocedures, leveranciersafspraken, patchbeleid en training van medewerkers. Wie dit nog versnipperd heeft georganiseerd, krijgt meer druk om processen structureel vast te leggen.
Hoe kunnen bedrijven zich voorbereiden op de Cyberbeveiligingswet?
Voorbereiden begint met overzicht. Bedrijven moeten weten welke systemen belangrijk zijn, welke data daarin staat en welke leveranciers betrokken zijn. Pas daarna kun je bepalen welke maatregelen nodig zijn.
In de praktijk betekent dit dat bedrijven hun basis op orde moeten hebben. Denk aan goede back-ups, veilig inloggen, duidelijke rechten voor medewerkers, actuele software en een plan voor noodgevallen. Wie dit nu nog versnipperd heeft geregeld, krijgt meer druk om het beter vast te leggen.
Ook bedrijfssoftware speelt een rol
Voor organisaties die met veel bedrijfssoftware werken, kan de Cyberbeveiligingswet extra impact hebben. Denk aan ERP-systemen, CRM-software, HRM-systemen, boekhoudsoftware, cloudoplossingen en platforms voor logistiek of productie. Deze systemen bevatten vaak gevoelige data en ondersteunen processen die belangrijk zijn voor de continuïteit van het bedrijf.
Wie nieuwe software kiest, moet daarom ook naar veiligheid kijken. Let niet alleen op functies en prijs, maar ook op toegangsbeheer, logging, back-ups, dataverwerking en support. Software vergelijken wordt daarmee niet alleen een keuze voor gemak, maar ook voor digitale weerbaarheid.
Cybersecurity wordt bestuurlijke verantwoordelijkheid
De Cyberbeveiligingswet maakt duidelijk dat cybersecurity niet langer alleen een technisch onderwerp is. Bestuurders worden nadrukkelijk verantwoordelijk voor cyberrisicobeheersing en moeten voldoende kennis hebben om maatregelen te beoordelen. Dat vraagt om meer betrokkenheid vanuit de top van de organisatie.
Dat vraagt om meer betrokkenheid vanuit de top van de organisatie. Digitale veiligheid wordt onderdeel van beleid, strategie en continuïteit. Niet omdat iedere organisatie direct wordt aangevallen, maar omdat de gevolgen van digitale problemen steeds groter worden.
Voorbereiden kan niet wachten
De Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten gaan in op 15 augustus 2026. Voor organisaties die onder de wet vallen, is dat dichtbij. Registratie, risicoanalyse, meldprocessen en verantwoordelijkheden moeten op tijd worden geregeld.
Bedrijven die nu al beginnen, voorkomen haastwerk later. De nieuwe wetgeving draait uiteindelijk niet alleen om regels volgen. Het gaat vooral om sterker worden tegen digitale risico’s. En in een organisatie waar software, leveranciers en processen steeds meer met elkaar verbonden zijn, is dat geen overbodige luxe.
Bron
Rijksinspectie Digitale Infrastructuur - Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten vanaf 15 augustus 2026 van kracht (juli 2026)
14 juli 2026
Start uw ERP selectie
Ontdek welke ERP systemen het beste passen bij uw onderneming
AI-gerelateerde cybersecurity incidenten komen steeds vaker voor
AI zorgt voor nieuwe cybersecurityrisico’s binnen bedrijfssoftware. Vooral supply chain, logistiek en SCM-systemen vragen om extra controle.
Lees verderKPN onderzoekt cyberweerbaarheid van Nederlandse organisaties
KPN-onderzoek toont dat cyberweerbaarheid van organisaties achterblijft. Vooral monitoring, ketenbeveiliging en crisisvoorbereiding schieten tekort.
Lees verderTweede Kamer neemt Cyberbeveiligingswet aan: wat betekent dit concreet?
De Cyberbeveiligingswet is aangenomen door de Tweede Kamer. Dit betekent het voor bedrijven, verplichtingen en digitale weerbaarheid.
Lees verder