De Eerste Kamer heeft de Cyberbeveiligingswet en de bijbehorende Wet weerbaarheid kritieke entiteiten aangenomen. Beide wetten treden op 15 augustus 2026 in werking, waarmee ruim 8.000 Nederlandse organisaties nog maar weken hebben om aan harde wettelijke cyberplichten te voldoen.
De senaat stemde op 7 juli in met beide wetsvoorstellen. Daarmee is de Nederlandse invulling van de Europese NIS2-richtlijn definitief: waar de zorg-, meld- en registratieplicht tot voor kort een aangekondigd traject was, is het vanaf 15 augustus geldend recht. Voor een organisatie die binnen de reikwijdte valt, is dat een aanlooptijd van amper vijf weken, niet de maanden waar velen op rekenden. De groep die eronder valt groeit bovendien van ongeveer 1.000 naar zo'n 8.000 bedrijven en instellingen, dus een grote meerderheid krijgt hier voor het eerst mee te maken.

Van 1.000 naar ruim 8.000 organisaties
De Cyberbeveiligingswet (Cbw) is de Nederlandse uitwerking van NIS2 en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen. De wet raakt entiteiten in achttien sectoren, van energie, drinkwater en digitale infrastructuur tot zorg, overheid en transport. De bijbehorende Wet weerbaarheid kritieke entiteiten (Wwke) voert de Europese CER-richtlijn uit en richt zich op de bredere, fysieke weerbaarheid van kritieke aanbieders, van sabotage tot uitval.
Toen de eindstemming voor 7 juli op de agenda kwam met 15 augustus als mogelijke ingangsdatum, was de uitkomst nog open. Nu de senaat beide wetten heeft aangenomen, staat die datum vast en is de kortste variant van het tijdpad werkelijkheid geworden.
Vier plichten die per 15 augustus gaan gelden
Organisaties binnen de reikwijdte moeten zich melden bij het Nationaal Cyber Security Centrum (NCSC) en krijgen daarna vier kernverplichtingen:
- Registratieplicht: aanmelden via mijn.ncsc.nl, zodat de toezichthouder weet wie onder de wet valt.
- Zorgplicht: aantoonbare risicomaatregelen voor je netwerk- en informatiesystemen, inclusief het beheersen van risico's in de toeleveringsketen.
- Meldplicht: significante incidenten getrapt melden bij het NCSC, met een eerste melding kort na ontdekking.
- Bestuursaansprakelijkheid: de leiding moet aantoonbaar kennis van cyberrisico's hebben en kan persoonlijk worden aangesproken als de weerbaarheid niet op orde is.
Het toezicht ligt bij de Rijksinspectie Digitale Infrastructuur, met per sector een eigen toezichthouder. Wie nog moet uitzoeken of het bedrijf eronder valt, begint met een scope-check: of je een belangrijke of een essentiële entiteit bent bepaalt welke maatregelen en meldtermijnen precies gelden.
Minister David van Weel (Justitie en Veiligheid) stelt dat de twee wetten de weerbaarheid van organisaties en de samenleving versterken.
Weken, geen maanden
Met deze stemming is het NIS2-tijdperk in Nederland niet langer aanstaand, maar geldend. De verschuiving zit niet in één nieuwe regel, maar in de status ervan: cyberweerbaarheid gaat van vrijwillige hygiëne naar een aantoonbare, afdwingbare plicht met een naam eraan verbonden, die van de bestuurder. Uit eerder onderzoek bleek dat een op de vijf Nederlandse organisaties pas in beweging komt zodra wetgeving dat afdwingt; voor die groep is het afdwingende moment nu aangebroken. De vraag is niet meer óf de zorg- en meldplicht gaan gelden, maar of je ze vóór 15 augustus op orde hebt.
Veelgestelde vragen
Klaar voor de zorgplicht
De zorg- en meldplicht vragen om aantoonbare grip op je systemen, data en toeleveranciers. Ik denk met je mee en bouw die controle end to end in, van koppelingen en logging tot een actueel overzicht van waar je data staat, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
