Cyberbeveiligingswet opnieuw uitgesteld

Inwerkingtreding verschuift waarschijnlijk naar 15 augustus 2026.

🌍TL;DR

De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, is per 1 juli 2026 níet in werking getreden. De Eerste Kamer stemt op 7 juli, waarna de nieuwe verwachte inwerkingtreding op 15 augustus 2026 ligt. De vertraging komt door de complexiteit van de wet, de politieke onrust rond de val van het kabinet in 2025 en de late afronding van de behandeling in de Eerste Kamer. Ondertussen blijkt bijna de helft van de Nederlandse organisaties nog onvoldoende voorbereid op de bredere Europese digitale wetgeving waar NIS2 onderdeel van uitmaakt, terwijl er straks géén overgangstermijn geldt en de eisen via ketenverantwoordelijkheid ook doorwerken naar leveranciers die zelf niet direct onder de wet vallen. De boodschap is dus helder: gebruik deze weken om je basis op orde te brengen, van MFA en incidentproces tot bestuurlijke verantwoordelijkheid en de Microsoft 365-security-bouwstenen die je vaak al in huis hebt.

Voor veel organisaties was 1 juli 2026 de stip op de horizon: de datum waarop de Nederlandse Cyberbeveiligingswet (Cbw), de nationale implementatie van de Europese NIS2-richtlijn, in werking zou treden. Nu die dag is aangebroken, is het goed om te weten: de wet is er nog niet. Het traject is opnieuw licht verschoven, en de nieuwe streefdatum ligt op 15 augustus 2026. In deze blog zetten we de actuele stand van zaken op een rij, leggen we uit waarom deze vertraging is ontstaan en waarom juist déze weken bepalend zijn voor je voorbereiding.

De stand op 2 juli 2026: nog geen inwerkingtreding

De feiten voor vandaag zijn helder:

  • Op 15 april 2026 heeft de Tweede Kamer de Cyberbeveiligingswet aangenomen.
  • Op 2 juni 2026 heeft de Eerste Kamer verslag uitgebracht, waarna de regering de gestelde vragen heeft beantwoord.
  • Op 23 juni 2026 vond een procedurevergadering plaats en is de schriftelijke behandeling in de Eerste Kamer afgerond.
  • Op 6 en 7 juli 2026 vindt het debat in de Eerste Kamer plaats; op 7 juli wordt gestemd over de Cyberbeveiligingswet én de Wet weerbaarheid kritieke entiteiten (Wwke).
  • Bij een positief besluit is de nieuwe verwachte inwerkingtreding 15 augustus 2026. De definitieve datum wordt vastgelegd bij koninklijk besluit.

Kortom: de Cyberbeveiligingswet is per vandaag nog niet van kracht, maar de laatste parlementaire hobbel is klein. Zowel de Digitale Overheid als de wetgevingskalender van de Rijksoverheid bevestigen dit tijdpad.

Waarom heeft dit traject opnieuw vertraging opgelopen?

De vertraging is een optelsom van meerdere factoren:

  • De oorspronkelijke Europese deadline was 17 oktober 2024. Nederland haalde die niet: van alle 27 EU-lidstaten had alleen België de NIS2 op tijd volledig omgezet in nationale wetgeving; Kroatië had de richtlijn op dat moment slechts gedeeltelijk geïmplementeerd. Nederland behoorde tot de lidstaten die de deadline niet haalden.
  • Complexiteit en zorgvuldigheid. De wet raakt circa 8.000 Nederlandse organisaties direct, en schattingen wijzen op 50.000 tot 100.000 mkb-bedrijven die er indirect mee te maken krijgen via ketenverplichtingen. Dat vraagt om zorgvuldige juridische en sectorale afstemming, inclusief internetconsultatie en advies van de Raad van State.
  • Politieke ontwikkelingen. De politieke onrust rond de val van het kabinet-Schoof begin juni 2025 en het daaropvolgende zomerreces hebben de behandeling van vergelijkbare dossiers in die periode vertraagd. Het wetsvoorstel is uiteindelijk op 15 april 2026 door de Tweede Kamer aangenomen.
  • Samenhang met andere wetgeving. De Cbw wordt in samenhang ingevoerd met de Wet weerbaarheid kritieke entiteiten (Wwke) en het onderliggende Cyberbeveiligingsbesluit. Die trajecten moeten gelijk oplopen, wat de planning gevoelig maakt voor verschuivingen.
  • Afronding in de Eerste Kamer. De schriftelijke behandeling is pas eind juni 2026 afgerond. Daardoor is de datum van 1 juli technisch onhaalbaar geworden en is gekozen voor een realistische verschuiving naar 15 augustus 2026.

De ongemakkelijke waarheid: bijna de helft is nog niet klaar

Terwijl de inwerkingtreding dichterbij komt, blijft de voorbereiding bij veel organisaties achter. Volgens de Barometer Digital Decade 2026 van ICTRecht, gebaseerd op onderzoek onder 516 organisaties in acht sectoren, is bijna de helft van de Nederlandse organisaties onvoldoende voorbereid op de bredere Europese digitale wetgeving, waar NIS2 onderdeel van uitmaakt naast onder meer de AVG, de AI Act, DORA en de CRA. In vrijwel alle onderzochte sectoren loopt de digitale basis achter op wat de regelgeving straks vereist.

Op Europees niveau is het beeld vergelijkbaar: uit onderzoek van IDC en Microsoft blijkt dat de meerderheid van EMEA-organisaties nog niet volledig klaar is voor NIS2, en dat veel organisaties verwachten extra cybersecurity-capaciteit nodig te hebben om aantoonbaar te voldoen aan de eisen.

Waarom die extra weken géén reden zijn om te wachten

De verleiding is groot om te denken: “Als 1 juli 2026 niet gehaald is, dan komt 15 augustus vast ook nog wel op te schuiven.” Toch is dat een risicovolle aanname, om drie redenen:

  • Er is geen overgangstermijn. Zodra de wet in werking treedt, gelden de verplichtingen. Vanaf dag één moet je aantoonbaar maatregelen hebben genomen op het gebied van risicobeheer, incidentmelding en leveranciersbeveiliging.
  • De dreiging is er nu al. Ransomware, phishing en supply-chain-aanvallen wachten niet op een wettelijke deadline. Voorbereiding op NIS2 valt in grote lijnen samen met verstandig cybersecuritybeleid, of de wet nu op 15 augustus, 1 september of 1 oktober ingaat.
  • Ketenverantwoordelijkheid geldt ook voor jou. Val je zelf niet direct onder de wet, maar lever je aan een organisatie die er wél onder valt? Dan krijg je de eisen alsnog contractueel doorgeschoven. Grote organisaties zullen leveranciers in de praktijk aantoonbaar willen zien voldoen aan cybersecurity-eisen, omdat zij zelf verantwoordelijk zijn voor de risico’s in hun keten.

De Rijksoverheid adviseert dan ook expliciet om niet af te wachten tot de wet in werking treedt, maar nu al te starten met een risicoanalyse en het inrichten van de basis.

De drie kernverplichtingen op een rij

De Cyberbeveiligingswet steunt straks op drie pijlers:

  • Zorgplicht: het nemen van passende technische en organisatorische maatregelen om cyberbeveiligingsrisico’s te beheersen.
  • Meldplicht: significante incidenten melden bij het NCSC, binnen strikte termijnen (een early warning binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapportage binnen één maand).
  • Registratieplicht: organisaties die onder de wet vallen moeten zich registreren bij het NCSC, zodat duidelijk is wie onder toezicht valt.

Daarnaast krijgt het bestuur een expliciete verantwoordelijkheid: directies moeten aantoonbaar kennis hebben van cybersecurity en actief sturen op beleid en maatregelen.

Wat kun je nu concreet doen?

Voorbereiden op de Cyberbeveiligingswet hoeft geen paniekproject te zijn. Het is vooral een kwestie van gestructureerd doorpakken op de basis. Een pragmatische route:

  • Werk aan de basis van cyberhygiëne. Denk aan MFA, patchmanagement, sterk toegangsbeheer en awareness. In onze blog over basis cyberhygiëne en trainingen volgens NIS2 lees je hoe je hier stap voor stap invulling aan geeft.
  • Regel je incidentproces. Weet vooraf wie waarvoor verantwoordelijk is bij een significant incident, zodat je de meldplicht richting het NCSC kunt waarmaken.
  • Betrek je bestuur. NIS2 verankert bestuurlijke verantwoordelijkheid als een expliciete verplichting. Directies moeten aantoonbaar op de hoogte zijn én kunnen sturen op cybersecuritybeleid.
  • Kijk vooruit in de tijdlijn. Voor een gedetailleerd overzicht van de fases richting compliance is onze NIS2-tijdlijn een goed vertrekpunt.

De rol van Microsoft 365 in je NIS2-aanpak

Veel organisaties beschikken al over Microsoft 365-licenties waarin waardevolle bouwstenen voor NIS2 zitten, vaak zonder dat ze volledig worden benut. Denk aan Conditional Access, Microsoft Defender, Purview voor informatiebescherming en Sentinel voor monitoring en incidentrespons. Microsoft heeft hier zelf uitgebreide handreikingen en oplossingen voor NIS2-naleving gepubliceerd, die goed aansluiten op de zorgplicht en meldplicht uit de Cbw.

Bij OfficeGrip helpen we je om die technische bouwstenen te vertalen naar concrete maatregelen die passen bij jouw organisatie, sector en risicoprofiel, vanuit ISO 27001 als fundament en met een pragmatische, gefaseerde aanpak.

Tot slot

De datum van 1 juli 2026 is verstreken zonder inwerkingtreding, en 15 augustus 2026 is de nieuwe streefdatum. Voor jouw voorbereiding maakt dat weinig uit: de tijd tussen nu en de inwerkingtreding is kort, er komt geen overgangstermijn, en de risico’s die de wet wil adresseren zijn nu al reëel. Onderzoek laat zien dat te veel organisaties het traject nog voor zich uitschuiven, en dat is precies waar het echte risico ontstaat.

De boodschap blijft dus onverminderd: begin nu, werk gestructureerd, en gebruik deze weken om NIS2 te vertalen van verplichting naar strategisch voordeel richting klanten, partners én je eigen medewerkers.

Wil je sparren over de impact op jouw organisatie of een concrete vervolgstap zetten? Dan denken wij graag met je mee.

Is uw organisatie voorbereid op de NIS2 wetgeving?

Doe het Self Assessment en ontdek het zelf!

Klaar om de cyberweerbaarheid van uw organisatie te verhogen?

Avista-Shegani

Avista denkt graag
met u mee.