Rood hangslot op een zwart computertoetsenbord als symbool voor digitale beveiliging
Nieuws1 juli · 15:235 min leestijd

Cyberbeveiligingswet naar de Eerste Kamer: stemming 7 juli, invoering mogelijk al op 15 augustus

De Eerste Kamer stemt 7 juli over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten. Bij een ja kan de wet al op 15 augustus ingaan voor ruim 8.000 organisaties.

De Nederlandse cyberwetgeving is nu een kwestie van dagen. De Eerste Kamer stemt op dinsdag 7 juli over de Cyberbeveiligingswet (Cbw) en de bijbehorende Wet weerbaarheid kritieke entiteiten (Wwke). Neemt de senaat beide aan, dan kunnen ze al op 15 augustus 2026 in werking treden. Vanaf dat moment gelden er harde wettelijke plichten voor naar schatting 8.000 organisaties, waar dat er onder de huidige wet nog ongeveer 1.000 zijn. Voor iedereen die dacht dat NIS2 nog wel even op zich zou laten wachten, is dat een fors kortere aanloop dan gehoopt.

Het is een concrete mijlpaal in een traject dat al maanden loopt. De Tweede Kamer nam de wet in april aan, de Eerste Kamer bracht op 2 juni verslag uit en na de antwoorden van het kabinet ligt het voorstel nu klaar voor de eindstemming. De regering is er duidelijk over: organisaties moeten niet wachten tot de wet in werking treedt, aldus de NCTV, maar nu al beginnen met voorbereiden.

De historische gebouwen van het Binnenhof in Den Haag, waar de Eerste Kamer zetelt en op 7 juli over de cyberwetten stemt., Bron: Jesterhat84 / Wikimedia Commons (CC BY-SA 3.0 nl)
De historische gebouwen van het Binnenhof in Den Haag, waar de Eerste Kamer zetelt en op 7 juli over de cyberwetten stemt., Bron: Jesterhat84 / Wikimedia Commons (CC BY-SA 3.0 nl)

Van 1.000 naar 8.000 organisaties

De Cyberbeveiligingswet is de Nederlandse uitwerking van de Europese NIS2-richtlijn en vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Het grote verschil zit in de reikwijdte. Waar de Wbni op ongeveer 1.000 organisaties in vitale sectoren mikt, trekt de Cbw de kring open naar zo'n 8.000. Denk aan een middelgroot productiebedrijf, een ICT-dienstverlener, een afvalverwerker of een zorginstelling die eerder buiten schot bleef. De wet werkt niet met een simpele sectorlijst: je bepaalt zelf, op basis van sector en omvang, of je een belangrijke of essentiële entiteit bent. Die zelfevaluatie is geen formaliteit, want de keteneis trekt ook kleinere toeleveranciers alsnog mee. In de praktische NIS2-implementatiegids doorloop je die scope-check en de tien verplichte risicobeheermaatregelen stap voor stap.

Twee wetten die tegelijk landen

Het gaat nadrukkelijk om twee wetten. De Cbw regelt de digitale weerbaarheid; de Wwke, de Nederlandse invulling van de Europese CER-richtlijn, richt zich op de fysieke en operationele weerbaarheid van kritieke aanbieders. Die tweede wet verplicht een brede risicobeoordeling die verder gaat dan cyber alleen: ook menselijke dreigingen als terrorisme, sabotage en criminaliteit, en natuurdreigingen als overstromingen, pandemieën en klimaateffecten horen erbij. Bij een verstoring van de dienstverlening geldt een meldtermijn van 24 uur. Toezichthouders krijgen onder beide wetten stevig gereedschap: bindende aanwijzingen, inspecties en de bevoegdheid om een dienst te beperken of stil te leggen.

Wat de zorgplicht en meldplicht concreet vragen

De kern van de Cbw is de zorgplicht: passende technische en organisatorische maatregelen op basis van een risicoanalyse. Daaromheen zitten een paar plichten met harde deadlines die je nu al kunt inregelen:

  • Registratie bij het Nationaal Cyber Security Centrum (NCSC), zodat je aan het juiste CSIRT en de bevoegde toezichthouder gekoppeld bent.
  • Meldplicht bij een significant incident, en die is getrapt: een vroege waarschuwing binnen 24 uur, een uitgebreidere melding binnen 72 uur, en een eindrapport binnen een maand.
  • Bestuursverantwoordelijkheid: bestuurders moeten de maatregelen goedkeuren, toezien op de uitvoering en aantoonbaar kennis van cyberrisico's hebben. De aansprakelijkheid ligt expliciet niet alleen bij de IT-afdeling.
  • Ketenbeheer: je moet de beveiligingsrisico's van je leveranciers en dienstverleners beoordelen en vastleggen.

Deze plichten zijn grotendeels dezelfde hygiëne die je met een basischeck in vijf lagen zelf kunt nalopen, van MFA en wachtwoordbeheer tot back-ups. Het verschil is dat de Cbw ze optilt van aanbeveling naar verplichting, mét bewijslast.

Wat je nu concreet moet regelen

De NCTV adviseert organisaties om deze weken niet af te wachten maar te starten met een eerste risicoanalyse, in kaart te brengen welke maatregelen er al staan, de uitkomsten met de leiding te bespreken, verbeterafspraken te maken en de registratie voor te bereiden. Een nuance die daarbij past: wees kritisch op te positieve rapportages over je eigen weerbaarheid, waarschuwen Art de Blaauw en Erik Becker. Een map vol beleidsdocumenten is geen aantoonbare beveiliging, en het meldproces haal je onder druk zelden op basis van een standaardformulier alleen. Wie continuïteit serieus neemt, ontdekt bovendien dat een herstelplan na een cyberaanval iets is dat je vooraf ontwerpt in plaats van achteraf koopt.

Wat betekent dit voor jou

De boodschap is simpel: de datum staat nu vast genoeg om ernaar te handelen. Als de Eerste Kamer op 7 juli instemt, heb je nog geen zes weken tot 15 augustus, en daarna telt het of je de zorgplicht, de meldketen en de bestuursverankering aantoonbaar op orde hebt. Wacht je op een definitieve, mildere versie van de regels, dan loop je hetzelfde risico als bij eerdere Europese trajecten waarin een aangekondigde vereenvoudiging in de uitvoering juist meer complexiteit en certificeringslast kon opleveren. De verstandige zet is om de scope-check en de eerste gap-analyse deze zomer te doen, zodat 15 augustus geen startschot maar een tussenstand is.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Klaar voor 15 augustus

Ik help je van scope-check tot een aantoonbare meldketen en zorgplicht die in je echte werk landt, niet alleen op papier. Van meedenken en ontwerp tot bouwen en automatiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht
Nieuws
4 min

7 jul 16:11

Eerste Kamer neemt Cyberbeveiligingswet aan: op 15 augustus van kracht

De Eerste Kamer nam de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aan. Beide gaan op 15 augustus in, waarmee ruim 8.000 Nederlandse organisaties nog maar weken hebben om aan de nieuwe cyberplichten te voldoen.

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden
Nieuws
5 min

2 jul 16:24

AI vergroot de NIS2-kloof: Nederlandse bedrijven zien compliance juist complexer worden

Vers Veeam-onderzoek onder 300 Nederlandse beslissers laat zien dat AI het naleven van NIS2 en DORA juist ingewikkelder maakt. 62 procent verwacht meer complexiteit, terwijl de Cyberbeveiligingswet dit kwartaal bestuurders persoonlijk aansprakelijk gaat maken.

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting
Nieuws
3 min

8 jul 14:48

Brussel daagt Nederland voor het EU-Hof om te late NIS2-omzetting

De Europese Commissie daagt Nederland, Ierland, Spanje en Frankrijk voor het EU-Hof wegens te late omzetting van de NIS2-cyberrichtlijn en vraagt om boetes. Voor Nederlandse organisaties bevestigt de zaak dat de Cyberbeveiligingswet op 15 augustus onverbiddelijk ingaat.

NIS2 voor het MKB: van scope-check tot meldplicht en supply chain-eisen
Gids
9 min

26 jun 19:03

NIS2 voor het MKB: van scope-check tot meldplicht en supply chain-eisen

De Cyberbeveiligingswet maakt cybersecurity een wettelijke plicht. Zo bepaal je of je eronder valt en welke stappen je in welke volgorde zet om op tijd te voldoen.

ABN Amro verlaagt groei TMT-sector naar 3 procent en waarschuwt voor AI-tweedeling
Nieuws
5 min

24 jun 23:05

ABN Amro verlaagt groei TMT-sector naar 3 procent en waarschuwt voor AI-tweedeling

ABN Amro verlaagt de groeiprognose voor de Nederlandse tech-, media- en telecomsector naar 3 procent. Oplopende rente drukt, en AI zorgt voor een tweedeling die ABN Amro zelfs de SaaSpocalypse noemt.

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen
Nieuws
4

7 jul 22:24

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen

De Europese Commissie kwam op 7 juli met een Actieplan Cybersecurity en AI. Het bevat vooral aanbevelingen en Europese testcapaciteit, geen nieuwe verplichtingen. Voor Nederlandse bedrijven blijven NIS2 en de AI Act de harde compliancelat.