Voor professionals die werken aan digitalisering van de overheid

Logo Rijksoverheid, naar de homepage

Cyberbeveiligingswet (NIS2-richtlijn)

Waar komt de Cyberbeveiligingswet vandaan?

Voor welke overheidsorganisaties geldt de Cyberbeveiligingswet?

Wat zijn de verplichtingen onder de Cyberbeveiligingswet?

De Cyberbeveiligingswet (Cbw) is de Nederlandse omzetting van de Europese Network and Information Security directive, of NIS2-richtlijn. De NIS2-richtlijn is gericht op het verbeteren van de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten. Deze verbetering is noodzakelijk vanwege meer afhankelijkheid van digitalisering en toegenomen dreigingen.

Hoewel de NIS2-richtlijn sinds 16 januari 2023 van kracht is voor lidstaten van de Europese Unie, werkt deze niet rechtstreeks op individuele organisaties in deze landen. Bij een richtlijn is namelijk nog een vertaling naar nationale wetgeving nodig. Daarom wordt de richtlijn op dit moment omgezet naar Nederlandse wetgeving in de Cyberbeveiligingswet. Wanneer de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).

De Cyberbeveiligingswet kent voor organisaties verschillende verplichtingen waarop onafhankelijk toezicht wordt gehouden. Lees meer over deze verplichtingen.

De wetgeving voor omzetting van de NIS2-richtlijn in de Cyberbeveiligingswet bevat 3 onderdelen:

  • Het wetsvoorstel voor de Cyberbeveiligingswet en bijbehorende Memorie van Toelichting;
  • Het Cyberbeveiligingsbesluit (Cbb), de Algemene Maatregel van Bestuur (AMvB) onder de Cyberbeveiligingswet en bijbehorende Nota van Toelichting. In het Cbb worden onderdelen van de Cyberbeveiligingswet nader uitgewerkt, zoals de zorgplicht, registratieplicht en de opleidingsplicht voor bestuurders. Het Cbb geldt voor alle sectoren onder de Cyberbeveiligingswet;
  • De ministeriële regeling per vakdepartement of sector die een nadere invulling van enkele verplichtingen van het Cbb geeft. Voor de sector overheid wordt bijvoorbeeld de Baseline Informatiebeveiliging Overheid (BIO)2 als nadere invulling voor de zorgplicht gebruikt.

Cyberbeveiligingswet (Cbw): nationale wetgeving

Op 4 juni 2025 is het wetsvoorstel voor de Cyberbeveiligingswet, implementatie van de NIS2-richtlijn, ingediend bij de Tweede Kamer. Hiermee wordt de NIS2-richtlijn omgezet in nationale wetgeving. Eerder zijn de concept-wetsvoorstellen in openbare consultatie geweest en is de Raad van State om advies gevraagd. Deze feedback is waar mogelijk verwerkt.

Het wetsvoorstel en bijbehorende stukken zijn te vinden op de website van de Tweede Kamer: Wetsvoorstel Cyberbeveiligingswet.

Cyberbeveiligingsbesluit (AMvB Cbw)

Van 28 februari tot en met 30 maart 2025 was de internetconsultatie voor de concept-Algemene Maatregel van Bestuur (AMvB) bij het wetsvoorstel: het Cyberbeveiligingsbesluit (Cbb).
Naar aanleiding van de reacties vanuit deze internetconsultatie zijn de conceptteksten van het Cbb aangepast. De conceptteksten van het Cbb zijn meegestuurd voor behandeling in de Tweede en Eerste Kamer. Ze worden voor advies gestuurd naar de Raad van State.

Bekijk de concept-AMvB: het Cyberbeveiligingsbesluit.

Ministeriële regeling Cyberbeveiligingswet voor de overheid

Op dit moment werken de vakdepartementen aan de uitwerking van hun ministeriële regeling onder de Cyberbeveiligingswet. Hierin wordt invulling gegeven aan de zorgplicht en de drempelcriteria voor de meldplicht. Voor de sector overheid wordt invulling gegeven aan de zorgplicht op basis van de Baseline Informatiebeveiliging Overheid (BIO)2. Naar verwachting is er eind 2025 meer bekend over de inhoud van deze ministeriële regeling. Hiervoor komt in het najaar van 2025 een openbare consultatie, waar iedereen aan kan bijdragen.

Hoe kunnen (overheids)organisaties zich alvast voorbereiden op de Cyberbeveiligingswet?

Voor overheidsorganisaties geldt dat zij momenteel al moeten voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). De herziening ervan is de BIO2. De BIO2 vormt voor een belangrijk deel de invulling van de zorgplicht van de Cyberbeveiligingswet voor de overheid. Het voldoen aan bestaande kaders voor informatiebeveiliging bij de overheid zoals BIO2 zijn dus een belangrijk beginpunt. Parallel aan de Cyberbeveiligingswet is de BIO herzien (BIO2). De BIO2 sluit goed aan op de uitgangspunten van de Cyberbeveiligingswet, zoals het goed toepassen van risicomanagement.

Voor overige verplichtingen vind je op andere websites meer tips die organisaties helpen zich voor te bereiden op de Cyberbeveiligingswet. Bijvoorbeeld via het Digital Trust Center en het Nationaal Cyber Security Centrum. Ook veel bestaande producten van het Centrum voor Informatiebeveiliging en Privacy (CIP) helpen hierbij.

Meer weten?

Lees meer over waar de Cyberbeveiligingswet vandaan komt, de verplichtingen van de Cyberbeveiligingswet of ga naar de de veelgestelde vragen. Staat je vraag er niet tussen? Neem dan contact op.

Zie ook:

Vraag, idee, reactie of suggestie?

Werk je aan de digitalisering van de overheid en heb je een vraag of een idee? Reageer via het contactformulier