Close-up van serverracks in een serverruimte, onderdeel van de digitale infrastructuur die onder de wet valt.
Nieuws7 juli · 16:114 min leestijd

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht

De Eerste Kamer nam de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aan. Beide gaan op 15 augustus in, waarmee ruim 8.000 Nederlandse organisaties nog maar weken hebben om aan de nieuwe cyberplichten te voldoen.

De Eerste Kamer heeft de Cyberbeveiligingswet en de bijbehorende Wet weerbaarheid kritieke entiteiten aangenomen. Beide wetten treden op 15 augustus 2026 in werking, waarmee ruim 8.000 Nederlandse organisaties nog maar weken hebben om aan harde wettelijke cyberplichten te voldoen.

De senaat stemde op 7 juli in met beide wetsvoorstellen. Daarmee is de Nederlandse invulling van de Europese NIS2-richtlijn definitief: waar de zorg-, meld- en registratieplicht tot voor kort een aangekondigd traject was, is het vanaf 15 augustus geldend recht. Voor een organisatie die binnen de reikwijdte valt, is dat een aanlooptijd van amper vijf weken, niet de maanden waar velen op rekenden. De groep die eronder valt groeit bovendien van ongeveer 1.000 naar zo'n 8.000 bedrijven en instellingen, dus een grote meerderheid krijgt hier voor het eerst mee te maken.

De plenaire zaal van de Eerste Kamer in Den Haag, waar de senaat op 7 juli over de cyberwetten stemde. Bron: Rijksvastgoedbedrijf / Corne Bastiaansen / Wikimedia Commons (CC0)
De plenaire zaal van de Eerste Kamer in Den Haag, waar de senaat op 7 juli over de cyberwetten stemde. Bron: Rijksvastgoedbedrijf / Corne Bastiaansen / Wikimedia Commons (CC0)

Van 1.000 naar ruim 8.000 organisaties

De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van NIS2 en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen. De wet raakt entiteiten in achttien sectoren, van energie, drinkwater en digitale infrastructuur tot zorg, overheid en transport. De bijbehorende Wet weerbaarheid kritieke entiteiten (Wwke) voert de Europese CER-richtlijn uit en richt zich op de bredere, fysieke weerbaarheid van kritieke aanbieders, van sabotage tot uitval.

Toen de eindstemming voor 7 juli op de agenda kwam met 15 augustus als mogelijke ingangsdatum, was de uitkomst nog open. Nu de senaat beide wetten heeft aangenomen, staat die datum vast en is de kortste variant van het tijdpad werkelijkheid geworden.

Vier plichten die per 15 augustus gaan gelden

Organisaties binnen de reikwijdte moeten zich melden bij het Nationaal Cyber Security Centrum (NCSC) en krijgen daarna vier kernverplichtingen:

  • Registratieplicht: aanmelden via mijn.ncsc.nl, zodat de toezichthouder weet wie onder de wet valt.
  • Zorgplicht: aantoonbare risicomaatregelen voor je netwerk- en informatiesystemen, inclusief het beheersen van risico's in de toeleveringsketen.
  • Meldplicht: significante incidenten getrapt melden bij het NCSC, met een eerste melding kort na ontdekking.
  • Bestuursaansprakelijkheid: de leiding moet aantoonbaar kennis van cyberrisico's hebben en kan persoonlijk worden aangesproken als de weerbaarheid niet op orde is.

Het toezicht ligt bij de Rijksinspectie Digitale Infrastructuur, met per sector een eigen toezichthouder. Wie nog moet uitzoeken of het bedrijf eronder valt, begint met een scope-check: of je een belangrijke of een essentiële entiteit bent bepaalt welke maatregelen en meldtermijnen precies gelden.

Minister David van Weel (Justitie en Veiligheid) stelt dat de twee wetten de weerbaarheid van organisaties en de samenleving versterken.

Weken, geen maanden

Met deze stemming is het NIS2-tijdperk in Nederland niet langer aanstaand, maar geldend. De verschuiving zit niet in één nieuwe regel, maar in de status ervan: cyberweerbaarheid gaat van vrijwillige hygiëne naar een aantoonbare, afdwingbare plicht met een naam eraan verbonden, die van de bestuurder. Uit eerder onderzoek bleek dat een op de vijf Nederlandse organisaties pas in beweging komt zodra wetgeving dat afdwingt; voor die groep is het afdwingende moment nu aangebroken. De vraag is niet meer óf de zorg- en meldplicht gaan gelden, maar of je ze vóór 15 augustus op orde hebt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Klaar voor de zorgplicht

De zorg- en meldplicht vragen om aantoonbare grip op je systemen, data en toeleveranciers. Ik denk met je mee en bouw die controle end to end in, van koppelingen en logging tot een actueel overzicht van waar je data staat, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus
Nieuws
5 min

1 jul 15:23

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus

De Eerste Kamer stemt 7 juli over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Bij een ja kan de wet al op 15 augustus ingaan voor ruim 8.000 organisaties.

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden
Nieuws
5 min

2 jul 16:24

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden

Vers Veeam-onderzoek onder 300 Nederlandse beslissers laat zien dat AI het naleven van NIS2 en DORA juist ingewikkelder maakt. 62 procent verwacht meer complexiteit, terwijl de Cyberbeveiligingswet dit kwartaal bestuurders persoonlijk aansprakelijk gaat maken.

Eerste Kamer stelt stemming over box 3 uit: kabinet krijgt de zomer voor aanpassingen
Nieuws
4 min

2 jul 06:09

Eerste Kamer stelt stemming over box 3 uit: kabinet krijgt de zomer voor aanpassingen

De Eerste Kamer stelde de stemming over de Wet werkelijk rendement box 3 uit en geeft het kabinet de zomer voor aanpassingen. Voor ondernemers en beleggers die al op de nieuwe regels plannen, betekent dat opnieuw wachten op duidelijkheid.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep
Nieuws
4 min

4 jul 04:11

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep

PRO-Kamerlid Kathmann stelt staatssecretaris Aerdts kritische vragen over de EU-VS datadeal na de Amerikaanse hofuitspraak. De kern: is minder afhankelijkheid van Amerikaanse techbedrijven de enige zekere route?

NIS2 voor het MKB: van scope-check tot meldplicht en supply chain-eisen
Gids
9 min

26 jun 19:03

NIS2 voor het MKB: van scope-check tot meldplicht en supply chain-eisen

De Cyberbeveiligingswet maakt cybersecurity een wettelijke plicht. Zo bepaal je of je eronder valt en welke stappen je in welke volgorde zet om op tijd te voldoen.