Cyberbeveiligingswet stap dichterbij

Waarom dit het moment is om in actie te komen

🔐TL;DR

De Cyberbeveiligingswet is op 15 april 2026 aangenomen door de Tweede Kamer en ligt nu bij de Eerste Kamer. De wet is nog niet formeel in werking getreden, maar de overheid stuurt nog steeds op invoering in het tweede kwartaal van 2026. Voor organisaties betekent dit dat afwachten niet verstandig meer is: wie mogelijk onder de wet valt, of levert aan organisaties die eronder vallen, doet er goed aan nu te starten met het in kaart brengen van risico’s, verantwoordelijkheden en benodigde maatregelen. Zodra de wet ingaat, moeten betrokken organisaties direct kunnen voldoen aan verplichtingen zoals zorgplicht, meldplicht en registratieplicht.

Op 15 april 2026 heeft de Tweede Kamer ingestemd met de wetsvoorstellen voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Daarmee is een belangrijke stap gezet in de Nederlandse implementatie van de Europese NIS2-richtlijn en de CER-richtlijn. De wetsvoorstellen gaan nu door naar de Eerste Kamer. De regering houdt nog steeds vast aan een beoogde inwerkingtreding in Q2 2026, maar benadrukt tegelijk dat dit afhankelijk blijft van de voortgang van het parlementaire proces. 

Dat lijkt misschien een nuance, maar voor organisaties is de boodschap helder: afwachten is niet verstandig meer. De Rijksoverheid adviseert organisaties die onder de Cyberbeveiligingswet kunnen vallen expliciet om nu al aan de slag te gaan, omdat de risico’s waarvoor de wet bedoeld is vandaag al bestaan. Zodra de wet ingaat, moeten organisaties die onder de reikwijdte vallen voldoen aan verplichtingen zoals zorgplicht, meldplicht en registratieplicht.

Wat is er nu precies veranderd?

Tot deze week was er nog politieke ruimte voor vertraging of inhoudelijke aanpassing in de Tweede Kamer. Die fase is nu voorbij. De wetsvoorstellen zijn daar aangenomen en gaan door naar de Eerste Kamer, waar naar verwachting eerst een schriftelijke ronde volgt, daarna een reactie van de regering en mogelijk een plenaire behandeling. De Eerste Kamer bepaalt het verdere tempo, maar vanuit de overheid wordt nog steeds gewerkt richting gelijktijdige inwerkingtreding van de wet en de onderliggende regelgeving in het tweede kwartaal van 2026. 

Voor organisaties betekent dit dat de discussie verschuift van “komt het er wel?” naar “zijn wij er op tijd klaar voor?”. Zeker omdat parallel aan het parlementaire traject ook wordt gewerkt aan het Cyberbeveiligingsbesluit en aan sectorspecifieke ministeriële regelingen die de wet nader uitwerken. De hoofdlijnen liggen dus vast, terwijl de verdere invulling doorloopt.

Wat is de Cyberbeveiligingswet eigenlijk?

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2-richtlijn. Het doel van die richtlijn is om het niveau van cyberbeveiliging in de Europese Unie te verhogen, juist omdat steeds meer maatschappelijke en economische processen afhankelijk zijn van digitale systemen en de dreiging van cyberincidenten toeneemt. Wanneer de Cyberbeveiligingswet in werking treedt, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).

De wet richt zich op organisaties die door hun sector en omvang worden gezien als essentiële of belangrijke entiteit. Daarbij gaat het onder meer om sectoren zoals energie, vervoer, bankwezen, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, levensmiddelen, chemie, post- en koeriersdiensten, afvalstoffenbeheer en bepaalde digitale aanbieders. Voor veel sectoren geldt dat middelgrote en grote organisaties binnen de reikwijdte kunnen vallen, bijvoorbeeld op basis van 50 medewerkers of meer of een jaaromzet of balanstotaal van meer dan €10 miljoen, terwijl in enkele categorieën ook kleinere organisaties automatisch binnen de richtlijn kunnen vallen. 

Voor wie is dit relevant?

Een belangrijk punt is dat organisaties onder de Cyberbeveiligingswet in veel gevallen zelf moeten nagaan of zij onder de wet vallen. Dat staat ook expliciet in de communicatie van de Rijksoverheid. Anders ligt dat bij de Wet weerbaarheid kritieke entiteiten (Wwke): daar bepalen organisaties niet zelf of zij eronder vallen, maar worden zij door de verantwoordelijke minister op basis van wettelijke criteria aangewezen. 

Ook als uw organisatie niet rechtstreeks onder de Cyberbeveiligingswet valt, kan de impact groot zijn. Organisaties die wél onder NIS2 vallen, hebben namelijk de plicht om de beveiliging van hun toeleveringsketen mee te nemen in hun risicobeheersing. Dat betekent niet dat elke leverancier automatisch zelf onder de wet valt, maar wel dat grotere klanten vaker bewijs zullen vragen over uw cybermaatregelen, uw incidentaanpak en de volwassenheid van uw beveiliging. Leveranciers moeten dus rekening houden met strengere vragenlijsten, aanvullende contracteisen en meer due diligence vanuit opdrachtgevers.

Wat moeten organisaties straks concreet kunnen aantonen?

De officiële communicatie noemt drie kernverplichtingen: zorgplicht, meldplicht en registratieplicht. De zorgplicht houdt in dat organisaties passende technische, operationele en organisatorische maatregelen nemen om cyberrisico’s te beheersen. De meldplicht verplicht organisaties om significante incidenten te melden. Daarnaast moeten organisaties informatie aanleveren voor registratie. De precieze sectorspecifieke invulling wordt verder uitgewerkt in onderliggende regelgeving, maar de hoofdlijn staat vast: organisaties moeten aantoonbaar grip hebben op hun digitale weerbaarheid. 

Voor de invulling van die zorgplicht wordt in overheidscommunicatie nadrukkelijk gekeken naar bestaande normenkaders en sectorale uitwerkingen. Voor de overheid wordt bijvoorbeeld gewezen op de BIO/BIO2.0, terwijl voor andere sectoren andere normen kunnen worden aangewezen. Het uitgangspunt is niet dat elke organisatie exact hetzelfde hoeft te doen, maar dat maatregelen passend en evenredig moeten zijn bij de risico’s, de omvang van de organisatie en de mogelijke impact van incidenten

Wat betekent dit voor bestuur, directie en leveranciers?

NIS2 is geen puur technisch IT-dossier. De wetgeving legt nadrukkelijk verantwoordelijkheid neer bij de organisatie zelf, inclusief bestuur en directie. In de verdere uitwerking van de wet wordt ook gesproken over nadere invulling van verantwoordelijkheden, toezicht en training. De rode draad blijft hetzelfde: cyberweerbaarheid wordt een bestuurlijk onderwerp, geen losse IT-actie. 

Voor leveranciers is de boodschap minstens zo relevant. De officiële overheidsinformatie maakt duidelijk dat leveranciers niet automatisch onder NIS2 vallen alleen omdat zij leveren aan een NIS2-plichtige organisatie. Maar diezelfde informatie zegt ook dat NIS2-entiteiten verplicht zijn de risico’s in hun keten in kaart te brengen. In de praktijk betekent dit dat opdrachtgevers steeds vaker eisen zullen stellen aan bijvoorbeeld toegangsbeheer, back-upbeleid, incidentrespons, patchmanagement en awareness. Wie die basis niet op orde heeft, loopt niet alleen beveiligingsrisico, maar ook commercieel risico.

Waarom nu starten verstandig is

De overheid zegt het op dit moment eigenlijk zelf al: wacht niet af. Niet alleen omdat de beoogde inwerkingtreding dichtbij is, maar vooral omdat de risico’s waarvoor de wet bedoeld is nu al bestaan. Organisaties die nu starten, winnen tijd om hun reikwijdte te bepalen, hun risico’s in kaart te brengen, beleid aan te scherpen, processen voor incidentmelding in te richten en hun leveranciersketen kritisch te beoordelen. Organisaties die wachten tot de formele ingangsdatum, vergroten de kans dat implementatie een haastklus wordt. 

Daarbij is het goed om een belangrijk misverstand te vermijden: de wet schrijft in de officiële bronnen geen specifieke commerciële certificering als algemene wettelijke standaard voor. Wat de wet wél vraagt, is dat organisaties aantoonbaar passende maatregelen nemen en voldoen aan de wettelijke verplichtingen die op hen van toepassing zijn. Certificering kan in de praktijk helpen als middel of bewijsstuk, maar is iets anders dan een expliciete wettelijke plicht zoals de zorgplicht, meldplicht of registratieplicht.

Hoe OfficeGrip organisaties hierbij kan helpen

Bij OfficeGrip zien we dat veel organisaties niet vastlopen op onwil, maar op onduidelijkheid. Val ik hieronder? Waar begin ik? Wat moet ik aantoonbaar geregeld hebben? En hoe voorkom ik dat dit een los compliance-project wordt zonder echte verbetering van de beveiliging? Juist daar zit de echte uitdaging: niet alleen voldoen aan aankomende wetgeving, maar uw digitale basis zó inrichten dat risico’s beheersbaar worden en vragen van klanten, auditors of toezichthouders beter te beantwoorden zijn. De kernverplichtingen en de overheidsboodschap zijn in ieder geval duidelijk genoeg om daar nu al mee te starten. 

Onze praktische aanbeveling is daarom simpel: begin met het bepalen of uw organisatie mogelijk onder de wet valt op basis van sector en omvang. Breng vervolgens uw risico’s en huidige maatregelen in kaart en toets of uw basis op orde is. Richt daarna processen in voor incidentmelding, registratie en leveranciersbeoordeling, en betrek directie en management vanaf het begin zodat cyberweerbaarheid een bestuurlijk onderwerp wordt en niet alleen een IT-project blijft.

Conclusie

De Cyberbeveiligingswet is nog niet formeel van kracht, maar de situatie is wel wezenlijk veranderd. De Tweede Kamer heeft ingestemd, de wetsvoorstellen liggen nu bij de Eerste Kamer en de regering werkt nog steeds toe naar inwerkingtreding in Q2 2026, samen met de onderliggende regelgeving. Voor organisaties is dit daarom niet langer het moment om te speculeren over uitstel, maar om te bepalen wat nodig is om straks aantoonbaar voorbereid te zijn. 

Wie nu begint, gebruikt de komende periode om rust, overzicht en structuur aan te brengen. Wie blijft wachten, loopt het risico dat cyberweerbaarheid pas aandacht krijgt als de tijdsdruk maximaal is. En juist dat is bij een onderwerp als dit zelden de beste route.

Bronnen en verdere verdieping

Voor dit artikel is gebruikgemaakt van officiële overheidsbronnen en publieke informatie van de betrokken instanties. Daarmee is deze blog gebaseerd op de meest gezaghebbende informatie die op dit moment beschikbaar is over de status van de Cyberbeveiligingswet, het vervolg in het wetgevingsproces en de praktische gevolgen voor organisaties. 

De belangrijkste bron voor de actuele stand van zaken is het nieuwsbericht van de Rijksoverheid over de instemming van de Tweede Kamer met de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Daarnaast is gebruikgemaakt van de toelichting van het NCSC over wat deze stap betekent voor organisaties, de informatiepagina’s van Digitale Overheid over de wet en de verplichtingen, en de dossierpagina van de Eerste Kamer voor de formele status van het wetsvoorstel. 

Wilt u zich verder verdiepen in de Cyberbeveiligingswet en de actuele stand van zaken? Hieronder vindt u de meest relevante officiële bronnen en informatiepagina’s:

  1. Rijksoverheid – Tweede Kamer stemt in met wetsvoorstellen Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten
  2. NCSC – Tweede Kamer stemt in met Cyberbeveiligingswet
  3. Digitale Overheid – Cyberbeveiligingswet (NIS2-richtlijn)
  4. Digitale Overheid – Veelgestelde vragen Cyberbeveiligingswet
  5. Eerste Kamer – Wetsvoorstel Cyberbeveiligingswet (36.764)
  6. Ondernemersplein – Meer bedrijven in kritieke sectoren krijgen verplichtingen voor cyberbeveiliging (NIS2)
Zero Trust een nieuw beveiligings tijdperk 2

Meer informatie over het Zero Trust model?

Download dan gratis ons eBook met meer informatie

Download >

Wilt u advies over wat nodig is om te voldoen aan NIS2?

Avista-Shegani

Avista denkt graag
met u mee.

ADRES

Blauwhekken 5b
4751 XD Oud Gastel

CONTACT

CUSTOMER CARE

LINKS

Building Our Future - Your.Cloud - White
ISO-27001