De Nederlandse cyberwetgeving is nu een kwestie van dagen. De Eerste Kamer stemt op dinsdag 7 juli over de Cyberbeveiligingswet (Cbw) en de bijbehorende Wet weerbaarheid kritieke entiteiten (Wwke). Neemt de senaat beide aan, dan kunnen ze al op 15 augustus 2026 in werking treden. Vanaf dat moment gelden er harde wettelijke plichten voor naar schatting 8.000 organisaties, waar dat er onder de huidige wet nog ongeveer 1.000 zijn. Voor iedereen die dacht dat NIS2 nog wel even op zich zou laten wachten, is dat een fors kortere aanloop dan gehoopt.
Het is een concrete mijlpaal in een traject dat al maanden loopt. De Tweede Kamer nam de wet in april aan, de Eerste Kamer bracht op 2 juni verslag uit en na de antwoorden van het kabinet ligt het voorstel nu klaar voor de eindstemming. De regering is er duidelijk over: organisaties moeten niet wachten tot de wet in werking treedt, aldus de NCTV, maar nu al beginnen met voorbereiden.

Van 1.000 naar 8.000 organisaties
De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Het grote verschil zit in de reikwijdte. Waar de Wbni op ongeveer 1.000 organisaties in vitale sectoren mikt, trekt de Cbw de kring open naar zo'n 8.000. Denk aan een middelgroot productiebedrijf, een ICT-dienstverlener, een afvalverwerker of een zorginstelling die eerder buiten schot bleef. De wet werkt niet met een simpele sectorlijst: je bepaalt zelf, op basis van sector en omvang, of je een belangrijke of essentiële entiteit bent. Die zelfevaluatie is geen formaliteit, want de keteneis trekt ook kleinere toeleveranciers alsnog mee. In de praktische NIS2-implementatiegids doorloop je die scope-check en de tien verplichte risicobeheermaatregelen stap voor stap.
Twee wetten die tegelijk landen
Het gaat nadrukkelijk om twee wetten. De Cbw regelt de digitale weerbaarheid; de Wwke, de Nederlandse invulling van de Europese CER-richtlijn, richt zich op de fysieke en operationele weerbaarheid van kritieke aanbieders. Die tweede wet verplicht een brede risicobeoordeling die verder gaat dan cyber alleen: ook menselijke dreigingen als terrorisme, sabotage en criminaliteit, en natuurdreigingen als overstromingen, pandemieën en klimaateffecten horen erbij. Bij een verstoring van de dienstverlening geldt een meldtermijn van 24 uur. Toezichthouders krijgen onder beide wetten stevig gereedschap: bindende aanwijzingen, inspecties en de bevoegdheid om een dienst te beperken of stil te leggen.
Wat de zorgplicht en meldplicht concreet vragen
De kern van de Cbw is de zorgplicht: passende technische en organisatorische maatregelen op basis van een risicoanalyse. Daaromheen zitten een paar plichten met harde deadlines die je nu al kunt inregelen:
- Registratie bij het Nationaal Cyber Security Centrum (NCSC), zodat je aan het juiste CSIRT en de bevoegde toezichthouder gekoppeld bent.
- Meldplicht bij een significant incident, en die is getrapt: een vroege waarschuwing binnen 24 uur, een uitgebreidere melding binnen 72 uur, en een eindrapport binnen een maand.
- Bestuursverantwoordelijkheid: bestuurders moeten de maatregelen goedkeuren, toezien op de uitvoering en aantoonbaar kennis van cyberrisico's hebben. De aansprakelijkheid ligt expliciet niet alleen bij de IT-afdeling.
- Ketenbeheer: je moet de beveiligingsrisico's van je leveranciers en dienstverleners beoordelen en vastleggen.
Deze plichten zijn grotendeels dezelfde hygiëne die je met een basischeck in vijf lagen zelf kunt nalopen, van MFA en wachtwoordbeheer tot back-ups. Het verschil is dat de Cbw ze optilt van aanbeveling naar verplichting, mét bewijslast.
Wat je nu concreet moet regelen
De NCTV adviseert organisaties om deze weken niet af te wachten maar te starten met een eerste risicoanalyse, in kaart te brengen welke maatregelen er al staan, de uitkomsten met de leiding te bespreken, verbeterafspraken te maken en de registratie voor te bereiden. Een nuance die daarbij past: wees kritisch op te positieve rapportages over je eigen weerbaarheid, waarschuwen Art de Blaauw en Erik Becker. Een map vol beleidsdocumenten is geen aantoonbare beveiliging, en het meldproces haal je onder druk zelden op basis van een standaardformulier alleen. Wie continuïteit serieus neemt, ontdekt bovendien dat een herstelplan na een cyberaanval iets is dat je vooraf ontwerpt in plaats van achteraf koopt.
Wat betekent dit voor jou
De boodschap is simpel: de datum staat nu vast genoeg om ernaar te handelen. Als de Eerste Kamer op 7 juli instemt, heb je nog geen zes weken tot 15 augustus, en daarna telt het of je de zorgplicht, de meldketen en de bestuursverankering aantoonbaar op orde hebt. Wacht je op een definitieve, mildere versie van de regels, dan loop je hetzelfde risico als bij eerdere Europese trajecten waarin een aangekondigde vereenvoudiging in de uitvoering juist meer complexiteit en certificeringslast kon opleveren. De verstandige zet is om de scope-check en de eerste gap-analyse deze zomer te doen, zodat 15 augustus geen startschot maar een tussenstand is.
Veelgestelde vragen
Klaar voor 15 augustus
Ik help je van scope-check tot een aantoonbare meldketen en zorgplicht die in je echte werk landt, niet alleen op papier. Van meedenken en ontwerp tot bouwen en automatiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
