De Eerste Kamer heeft op 7 juli ingestemd met de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Voor Nederland een belangrijke stap in het versterken van de digitale en fysieke weerbaarheid van organisaties tegen toenemende dreigingen.
De wetten treden op 15 augustus 2026 in werking. Vanaf dat moment gelden nieuwe verplichtingen voor cyberbeveiliging voor ruim 8.000 organisaties in Nederland. Ook voor ministeries, gemeenten, waterschappen, provincies, en vele zelfstandige bestuursorganen en gemeenschappelijke regelingen.
Organisaties die onder de Wwke vallen, worden bovendien vanaf dat moment formeel aangewezen als kritieke entiteit. Lees hier meer over deze wet.
Nieuwe verplichtingen Cbw
Organisaties die onder de Cyberbeveiligingswet vallen, krijgen onder meer te maken met:
- Registratieplicht: organisaties moeten zich registreren in het entiteitenregister via het Nationaal Cyber Security Centrum (NCSC). Om de registratie goed te laten verlopen, is het verstandig deze nu al voor te bereiden. Na registratie kunnen organisaties aansluiten op de dienstverlening van hun CSIRT. Daar krijgen ze producten en diensten om de weerbaarheid van de organisatie te vergroten en ondersteuning in geval van een incident.
- Zorgplicht: organisaties moeten maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheersen. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen of de gevolgen daarvan te beperken. Belangrijk onderdeel van de verplichtingen die specifiek gelden voor overheidsorganisaties, is de Baseline Informatiebeveiliging Overheid (BIO) 2.
- Meldplicht: organisaties moeten significante incidenten binnen de wettelijke termijnen melden aan hun CSIRT en bevoegde autoriteit via het meldportaal.
- Bestuurlijke verantwoordelijkheid: het bestuur is eindverantwoordelijk voor cyberrisicobeheersing. Bestuurders moeten beschikken over voldoende kennis om risico’s en beveiligingsmaatregelen te kunnen beoordelen en volgen daarvoor een passende training.
- Toezicht en handhaving: toezichthouders, zoals de Rijksinspectie voor Digitale Infrastructuur, controleren of organisaties voldoen aan de verplichtingen uit de Cyberbeveiligingswet.



